Embed Size (px)
Citation preview
Focus:
COBIT 4.0
Nr. 80 Juli 2006 Juillet 2006 July 2006
Liebe NewsLetter Leserinnen und Leser: Texte français voir au verso
Der Entschluss des ISACA Chapter Germany, die Zusammenarbeit bezüglich NewsLetter mit dem Schweizer Chaptereinzustellen, ergibt eine neue Situation. Wir ergreifen die Gelegenheit, Sie nach Ihrer Meinung zu unserem Publikations-organ in der heutigen Form zu fragen.
Nehmen Sie sich bitte fünf Minuten Zeit, um den folgenden Fragebogen auszufüllen und zurückzuschicken an:
Max F. Bretscher, KPMG, Badenerstrasse 172, CH-8004 Zürich (Schneckenpost) bzw. 044 249 20 29 (Fax), [email protected] (e-Mail). Fragebogen in elektronischer Form auf www.isaca.ch verfügbar.
Name und Adresse:……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
ISACA Chapter: …………………………………………………………….
Ich möchte den Switzerland Chapter NewsLetter jährlich erhalten 1 Mal 2 Mal 3 Mal 4 Mal(wie bisher) 5 Mal
Ich wünsche den NewsLetter in Papierform Download von der ISACA Switzerland Homepage in einer Closed User Group Beides
Ich bevorzuge Artikel in Deutsch Français English
Ich habe folgende Vorschläge zur Verbesserung des ISACA Switzerland NewsLetters:
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Zusätzliche Fragen für Leserinnen und Leser in Deutschland und/oder Österreich: Ich möchte auch in Zukunft den NewsLetter des ISACA Switzerland Chapters erhalten Ich wäre bereit, einen Beitrag von EUR 20 für Druck und Porto zu leisten ¨
Zusätzliche Fragen für unsere französisch sprechenden Leserinnen und Leser:Siehe bereits versandte Umfrage betreffend Revue de l’AFAI (ankreuzen, wenn nicht erhalten)¨
Chère lectrice et cher lecteur, Deutscher Text auf Rückseite
Suite à la décision du chapitre allemand de l’ISACA d’émettre sa propre publication périodique, une nouvelle situationse dessine pour nous. Ainsi, nous profitons de cette opportunité pour lancer une enquête sur vos attentes concernantla NewsLetter afin de pouvoir, nous l’espérons, répondre au mieux à vos attentes.
Nous vous remercions d’avance de nous accorder 5 minutes afin de remplir le questionnaire ci-dessous et de nous leretourner à : Max F. Bretscher, KPMG, Badenerstrasse 172, CH-8004 Zürich (courrier), 044 249 20 29 (Fax), [email protected] (e-Mail). Questionnaire électonique disponible chez www.isaca.ch.
Nom et adresse……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
Chapitre de l’ISACA: ……………………………………...........……….……
1. A quelle fréquence souhaiteriez-vous recevoir notre NewsLetter 1 x par an 2 x par an 3 x par an 4 x par an 5 x par an (statu quo)
2. Quel est votre média préféré? Format papier Download depuis la page principale ISACA (closed user group) Format papier et électronique
3. Langue: je préfère des articles en Allemand Français Anglais
4. Ce que je propose pour améliorer la NewsLetter :
………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………
……………………………………………………………………………………………….………………………
Pour nos lecteurs de l’Allemagne et de l’Autriche: Je désire de recevoir la NewsLetter Suisse aussi à l’avenir. Dans ce cas serais préparé de contribuer EUR 20 pour les frais
Questions supplémentaires pour nos lecteurs en français concernant la Revue de l’AFAI voir questionnaire séparé déjàenvoyée(indiquez si pas reçu).
Inhaltsverzeichnis
5
Impressum
Herausgeber:
ISACA Switzerland Chapter
c/o Monika Josi
Novartis International
WSJ 210.12.31
4002 Basel
Redaktion:
Max F. Bretscher
KPMG Fides Peat
Badenerstrasse 172
8026 Zürich
Satz und Gestaltung:
WissensTransfer
Francesca Lüscher Baglioni
8235 Lohn SH
Jeder Nachdruck, auch auszugsweise, sowie
Vervielfältigungen oder sonstige Verwertung
von Texten oder Abbildungen aus dem
NewsLetter nur mit schriftlicher Genehmi-
gung des Herausgebers unter voller Quellen-
angabe.
Preise:
Mitglieder gratis
Abonnement CHF 35.–/Jahr
Einzelnummer CHF 10.–
Inserate:
1 Seite CHF 400.–
1/2 Seite CHF 240.–
1/4 Seite CHF 160.–
Erscheint 4 Mal jährlich
Auflage: 1350 Exemplare
Nächste Ausgabe (Focus: e-Mail): Novem-
ber 2006, Redaktionsschluss: 10. Oktober
2006
Inhaltsverzeichnis
Editorial 6
COBIT 4.0 – COBIT 4.0 apporte-t-il une réponse auxattentes du PCAOB ? 7
COBIT 4.0 – Bringt COBIT 4.0 eine Antwort auf dieErwartungen des PCAOB? 13
COBIT 4.0 – Von COBIT 3rd edition zu COBIT 4.0 in 30 Sekunden? 18
COBIT 4.0 – Vergleich COBIT 3 vs. COBIT 4 19
The ISACA Crossword Puzzle 24
Express Line 26
DACH-News 27
Veranstaltungen 32
Vereinsadressen 34
Editorial
6
Der Schock sitzt tief. Der Entschlussdes Germany Chapters, die Zusam-menarbeit mit dem SwitzerlandChapter bezüglich NewsLetter auf-zukündigen, zeigte Wirkung.
Bei der Redaktion gingen diverseReaktionen aus Deutschland ein,welche den Entschluss bedauerten.Daneben wurden Stimmen laut, wel-che am Fortbestehen des NewsLettersZweifel aufkommen liessen. Der Vor-stand des Switzerland Chapters be-schloss in Zusammenarbeit mit derRedaktion, eine Umfrage bezüglichBedürfnis nach einem Publikations-organ zu starten.
Eine Umfrage – siehe Beilage – sollnun klären, wie es mit dem News-Letter (wenn überhaupt) weiter ge-hen soll. Dabei soll jenen Interessen-ten aus Deutschland die Möglichkeitgeboten werden, den SchweizerNewsLetter mit relativ geringen Kos-tenbeiträgen weiter zu erhalten.Verschiedentlich war auch angeregtworden, dass der NewsLetter in elek-tronischer Form versandt oder zurVerfügung gestellt werden könnte.Leider scheint wenig bekannt zu sein,dass dies seit einiger Zeit der Fall ist,allerdings mit einer Zeitverzögerungvon etwa zwei Monaten. Auch die-ser Aspekt wird mit der Umfrage be-leuchtet.
Die Redaktion bittet Sie, die beilie-gende Umfrage so schnell wie mög-lich zu beantworten, damit den ech-ten Bedürfnissen der ISACA-Mitglie-der nachgekommen werden kann.
Der NewsLetter hatte sich in den letz-ten Jahren bemüht, auch den Fran-
Editorial
zösisch sprechenden Lesern in ihrerMuttersprache zur Verfügung zu ste-hen. So wurden verschiedene Arti-kel übersetzt, teilweise auch solchenur in Französisch abgedruckt. Leidermusste immer wieder zur Kenntnisgenommen werden, dass die Ro-mands den NewsLetter gar nicht be-achteten. Als einstweilige Mass-nahme wurde den francophonen Mit-gliedern des Switzerland Chaptersletztes Jahr zusätzlich zum News-Letter gratis die Publikation Revue del’AFAI zugestellt. Obschon dies beivielen Empfängern geschätzt wurde,konnte die Auswahl nicht befriedi-gen, weil sie nach Postleitzahl erfolg-te (ein anderes Kriterium stand nichtzur Verfügung). Es ist aber wohl un-bestritten, dass auch Romands in derDeutschschweiz (oder Deutschland)leben; umgekehrt Deutschschweizerim Welschland tätig sind. Als weite-re Massnahme wurde die Titelseiteneu mehrsprachig gestaltet, um die„Nichtdeutsch“ sprechenden Leserweniger abzuschrecken.
Die vorliegende Nummer hat denSchwerpunkt COBIT 4.0. Es scheint,dass die Erfahrungen in dieser Hin-sicht noch mager sind, weshalb dieBeiträge spärlich eingingen. Oder liegtes an den Zweifeln über das Fortbe-stehen des NewsLetters? Wie auchimmer: Viel Spass bei der Lektüreund besten Dank für die Rücksendungdes Fragebogens!
Herzlichst,
MadMax Bretscher
Le choc est rude. La décision du cha-pitre allemand de l’ISACA d’inter-rompre sa collaboration avec notreNewsLetter a entraîné de nombreu-ses réactions.
Plusieurs lecteurs allemands ont re-gretté cette décision, d’autres per-sonnes ont émis des doutes sur l’op-portunité de poursuivre la publicationde notre périodique. Afin de pouvoirdécider en connaissance de cause,le comité suisse de l’ISACA a décidéen accord avec la rédaction de lan-cer une enquête pour connaître lesattentes des lecteurs.
Cette enquête que vous trouverez enannexe va nous permettre de déciderde l’avenir de la NewsLetter. Il s’agitd’une part de réfléchir au contenu,mais également de sonder noslecteurs allemands pour savoir s’ilssont disposés à payer une modestecontribution pour continuer à rece-voir notre revue. Un autre point con-cerne le mode de diffusion : papier,forme électronique, les deux ? C’estl’occasion de rappeler que les News-Letters sont aujourd’hui déjà dispo-nibles sous forme électronique sur lesite www.isaca.ch, avec un décalagetemporel d’environ deux mois.
La rédaction vous remercie de ré-pondre rapidement à cette enquête,dont les résultats devraient nouspermettre de prendre les bonnesdécisions.
Un dernier mot sur le bilinguisme denotre revue. La NewsLetter s’estefforcé ces dernières années d’offriraux lecteurs francophones des articlesdans leur langue maternelle. Desarticles ont été traduits, certains n’ontmême été publiés qu’en français.Malheureusement souvent sansgrand succès. Le comité a alors dé-cidé d’offrir gratuitement aux mem-bres habitant la Suisse romande – enplus de la NewsLetter suisse – la Re-vue de l’AFAI. Cette mesure a été
COBIT
7
très appréciée mais elle présentaitl’inconvénient de ne reposer que surune sélection du code postal del’adresse de nos membres, ignorantde fait les romands établit en Suisseallemande. La dernière mesure des-tinée à capter l’attention de noslecteurs romands est de produire unepage de titre en deux langues, afinde signaler plus clairement le carac-tère bilingue du contenu du journal.
Le présent numéro est consacré àCOBIT 4.0. Un sujet d’actualité maisqui n’a pas suscité beaucoup deréactions de la part des membres. Ilsemble manquer d’auteurs disposantd’expériences dans ce domaine. Oula rareté des articles tient-elle àl’incertitude quant à l’avenir de laNewsLetter ? Dans tous les cas,bonne lecture et merci de nous ren-voyer votre questionnaire !
Cordialement,
MadMax Bretscher
Oui, mais…! COBIT 4.0 est l’instru-ment privilégié pour concevoir etauditer les contrôles informatiques.Mal utilisé, il peut cependant con-duire à des audits surdimensionnés.Il doit en outre être complété par uneanalyse des contrôles applicatifs. Cedomaine réserve encore et toujoursdes surprises qu’un auditeur avertidevrait découvrir avant la pressespécialisée…
L’audit du système de contrôle inter-ne (SCI) est revenu en force et c’esttant mieux. La mise en œuvre desrègles du PCAOB1, l’organe de sur-veillance de la Bourse américainechargé de faire respecter les exi-gences de la loi Sarbanes-Oxley(SOX), montre cependant que l’inté-gration de l’informatique dans le SCIpose encore de nombreuses ques-tions. Il serait faux de penser que cesquestions qui nous viennent des Etats-Unis ne concernent qu’une petiteminorité de sociétés suisses cotées àla bourse américaine. Que ce soit parle biais des futures directives euro-péennes, des nouvelles dispositionsdu Code des Obligations ou finale-ment sous la pression des bailleursde fonds de l’entreprise, les entre-prises vont devoir porter dans le futurune plus grande attention aux risquesinformatiques et à leur prise encompte correcte dans le SCI.
Il est pour la discussion utile de suivrela typologie adoptée par le Standardd’audit no 22 édicté par le PCAOB.Celui-ci distingue :
les contrôles généraux établis àl’échelon de l’entreprise (company-ou entity-level controls),
COBIT 4.0
COBIT 4.0 apporte-t-il une réponse auxattentes du PCAOB ?
les contrôles applicatifs (appli-cation controls) et
les contrôles généraux informa-tiques (IT general controls).
L’illustration 13 montre que seule laseconde catégorie est directementliée aux processus métiers de l’entre-prise.
Premier constat : COBIT 4.0permet de prendre encompte les contrôlesinformatiques, mais àl’exception des contrôlesapplicatifs
La publication en décembre 2005 dela version 4.0 de COBIT4 a été l’occa-sion de procéder à quelques rema-niements (voir illustration 2) et d’ali-gner systématiquement ce référen-tiel sur les règles du PCAOB.
Tant la Commission européenne5 quel’Institute of Internal Auditors (IIA) leconfirment : COBIT est aujourd’huil’outil de référence privilégié pour laprise en compte de la gouvernancede l’informatique dans la mise enœuvre des directives européennes oupour une démarche SOX.
Il est cependant nécessaire deprendre en compte les trois règlessuivantes :
COBIT
8
etc.
Plusieurs processus des domainePlanning et organisation (PO) etSurveillance et évaluation (ME) deCOBIT sont parfaitement adaptés à cetype de contrôles.
Les travaux d’audit peuvent se limit-er à des vérifications superficielles,fondées sur des autoévaluations, desinterviews et la consultation de docu-ments. L’auditeur doit cependantvérifier quelques questions essentiel-les, dont celle de la définition de lapropriété d’une application, quimérite d’être abordée ici plus endétail.
Comme relevé dans un article pré-cédent (Expert-comptable 2004/10),la maîtrise de l’informatique impliqueque les utilisateurs connaissent etassument leurs responsabilités. Lesutilisateurs (les maîtres d’ouvrage)sont les propriétaires des données etdes applications informatiques quitraitent celles-ci. A ce titre ils doiventpar exemple valider par des tests
adéquats toute modification appor-tée à leurs logiciels. Deux exemplesmontrent que l’évolution technolo-gique vient malheureusement singu-lièrement compliquer cette réparti-tion des tâches :
a) EAI/SOALes démarches d’intégration (Enter-prise Application Integration, EAI) oud’architecture orientée service (Ser-vice oriented Architecture, SOA) pré-sentent le même défaut. Dans unlouable but de simplification et d’effi-cacité, elles brisent les anciennesbarrières entre applications. Destâches identiques, présentes dansplusieurs applications, comme lesroutines de calcul des intérêts,l’édition et l’impression des factures,ou plus simplement le transfert dedonnées entre logiciels, sont extraitesdes application et placées dans unespace commun auquel accèdentl’ensemble des applications (middle-ware dans l’approche EAI). Si lesavantages en terme de simplificationde la maintenance sont incontes-tables, la pratique montre que la« propriété » de ce middleware estplus problématique. Une modificationde ces routines devrait en principeêtre testée dans l’ensemble des app-lications qui y ont recours et formelle-ment acceptée par les responsablesde toutes ces applications. Uneexigence complexe à remplir, tanttechniquement (difficulté à simuleren environnement de tests) qu’orga-nisationellement (difficulté à ras-sembler un pool de représentantsd’application).
b) Patch Management6
Le recours à des logiciels standardapporte incontestablement un gaind’efficacité pour l’entreprise. La pra-tique montre que les versions misentsur le marché comportent encore denombreuses erreurs qui sont corrigéesultérieurement par des programmeslivrés par le fournisseur (patches). Leproblème réside là aussi dans la
Intégrer directementl’informatique dans toutel’analyse des contrôles àl’échelon de l’entreprise(company- ou entity-levelcontrols)
Les contrôles établis à l’échelon del’entreprise ne sont efficaces que s’ilssont globaux. Il est donc essentiel queles systèmes de contrôle adoptentune démarche intégrante :
ils doivent par exemple com-prendre une analyse des risques quiporte sur l’ensemble des risques del’entreprise, y compris les risques depanne informatique,
les règles déontologiques doiventtraiter aussi bien la lutte anti-corrup-tion que l’interdiction d’accéder auxsites pédophiles,
la répartition des compétencesdoit régler tant la conclusion descontrats que la responsabilité desdonnées et des applications,
la surveillance de l’entreprise doitdétecter aussi bien les réclamationsdes clients que les tentatives d’intru-sion dans un serveur informatique,
Illustration 1 : les différentes catégories de contrôles selon la typologie du PCAOB
COBIT
9
COBIT 3 COBIT 4.0
Le Guide du management et les objectifs de contrôle font l’objet de deux ouvrages séparés
Un ouvrage rassemble pour chacun des 34 processus informatiques, les objectifs de contrôle, les niveaux de maturité, ainsi que les facteurs et les indicateurs de succès
Certains contrôles applicatifs sont compris dans les processus DS5 « gestion de la sécurité » et DS11 « gestion des données »
18 contrôles applicatifs ont été iden-tifiés (numérotés AC1 à AC18), extraits des processus DS05 et DS11, et font l’objet d’une brève description en introduction de COBIT. Ils ne sont par la suite plus traités dans COBIT (voir illustration 3).
Le processus PO04 traite de l’organi-sation générale de la fonction infor-matique
Le nouveau processus PO04 aborde en détail le thème de la « propriété » des applications et des données informatiques.
Pour chacun des 34 processus infor-matiques, COBIT ne se limite plus à la division informatique mais définit les rôles au sein de l’ensemble de l’entre-prise en recourant à un modèle RACI (who is Responsible, Accountable, Consulted and/or Informed).
Les 34 processus sont placés sur un même niveau leurs liens ne sont pas explicites
COBIT 4.0 indique les liens de con-tinuité entre tous les processus, en mentionnant par exemple qu’un rapport sur les coûts d’une appli-cation, produit dans le cadre du processus PO5 (gérer les investisse-ments informatiques), peut conduire à l’acquisition d’une nouvelle applica-tion (processus AI2) qui va nécessiter une adaptation du concept de sécu-rité (processus DS5).
difficulté pour les utilisateurs d’êtreassociés à ces travaux de mainte-nance. Vu la difficulté de réaliser destests à grande échelle, ces patchespasseront souvent en production sansque les utilisateurs en soient con-scients. Les informaticiens auront eneffet tendance à considérer que cesopérations ne présentent pas derisques et n’ont pas d’impact sur ladisponibilité ou le bon fonctionne-ment des applications. Cela estprobablement vrai dans 99% descas, mais la pratique montre quedans les rares cas où ces travaux en-traînent une panne, celle-ci peut se
Illustration 2 : quelques importants changements entre les versions 3 et 4.0 de COBIT
révéler dramatique pour l’entreprise.D’où la recommandation de testerles patches avant de les charger, deles passer en production en périodecalme, d’effectuer un monitoringétroit les premières heures ou lespremiers jours et dans tous les casd’informer les utilisateurs de l’aug-mentation des risques.
Ces exemples montrent que l’audi-teur sera bien inspiré de vérifier endétail que l’entreprise a pris lesmesures nécessaires pour atteindreles objectifs de contrôle selon COBITPO4.6 à 4.9, en particulier la déter-
mination des responsabilités pourl’assurance qualité, pour la gestiondes risques, ainsi que pour lesdonnées et les systèmes.
Comprendre les processusmétiers et identifier lescontrôles applicatifs (applicationcontrols)
Il est important de savoir que COBITmentionne les contrôles applicatifs(voir illustration 3) mais ne les intègrepas dans les 34 processus infor-matiques de base. Ces contrôles relè-vent en effet des processus métiers.Ils ne sont donc compris ni dans lesObjectifs de contrôle, ni dans leGuide du management.
Ils doivent absolument faire l’objetd’une démarche complémentairecentrée sur l’identification des risquesliés aux processus, démarche pourlaquelle COBIT n’est pas d’une grandeutilité.
Le chiffre 2 ci-dessous revient endétail sur ce type de contrôles.
Ne traiter les contrôles générauxinformatiques (IT generalcontrols) que dans la mesure oùils conditionnent le bonfonctionnement d’applicationssensibles des processus métiers
Des articles spécialisés se sont faitl’écho d’audits de conformité SOX quiavaient perdu toute proportionnalitéavec les objectifs à atteindre. L’épais-seur du blindage de la porte d’accèsà un centre de calcul a-t-elle réelle-ment une influence sur la fiabilité desétats financiers d’une compagnie in-ternationale ? On peut en douter etde tels excès contribuent à discréditerle travail des auditeurs. Certainescritiques doutent à juste titre de lavaleur ajoutée de tels audits etrelèvent que SOX a de facto trans-
COBIT
10
titre et leur valeur. Il a ainsi vendu610’000 actions pour 1 Yen au lieud’en vendre une pour 610’000 Yens.Une erreur qui a coûté 290 millionsde francs à la banque et qu’unesimple plausibilisation à la saisie(comparaison avec les valeurs précé-dentes, avertissement vu le nombred’actions offertes, etc.…) auraitpermis d’éviter.
Deux exemples montrent que cesrisques importants sont aujourd’huiencore trop souvent négligés, aussibien par les entreprises que parcertains auditeurs.
Le programme standard decomptabilité des assurancessuisses
Depuis le 1er janvier 2005, les assu-rances privées actives dans le do-maine de la prévoyance profession-nelle doivent établir à l’attention del’autorité de surveillance (l’Office
fédéral des assurances sociales) unecomptabilité annuelle (Betriebs-rechnung) permettant de délimiter cetype d’assurances du reste de leursaffaires. Une exigence raisonnable sil’on considère que le total de cesengagements s’élève fin 2004 à 118milliards de francs à répartir entre 2,3millions d’assurés…
Cette comptabilité constitue uninstrument essentiel à la surveillanceétatique, mais regroupe égalementles données qui pour la plupart desassurances permettent de justifierl’attribution au fonds d’excédents etla distribution des parts excédents.Elle doit donc être considérée commeun système alimentant les étatsfinanciers des assurances.
En outre, et selon l’article 140 (devoird’information) de la nouvelle Ordon-nance sur la surveillance des assu-rances privées en vigueur dès le1.1.2006 , « L’entreprise d’assurancetransmet aux preneurs d’assurance,
formé les dividendes autrefois versésaux actionnaires en honoraires versésaux cabinets d’audit.
Ces excès peuvent être évités enadoptant la démarche rétrograde (ou« Top-down Approach ») préconiséepar le PCAOB:1) identifier les positions importantesdes états financiers,2) identifier les processus qui génè-rent ou conditionnent ces positions,3) identifier les applications informa-tiques sensibles pour ces processus,4) n’auditer que les contrôles géné-raux informatiques essentiels au bonfonctionnement de ces applications.
Si l’entreprise ne réalise par exemplequ’une part infime de son chiffred’affaires avec une application e-commerce découplée de ses autresressources informatiques, l’auditeurdevrait avoir le « courage » d’ignorerpurement et simplement ce do-maine. Si en revanche, l’ensemblede la facturation est externalisée,c’est toute la fiabilité des interfaces(conditionnée par des contrôles tantapplicatifs que généraux) qui devrapar exemple être examinée.
L’audit des contrôles généraux infor-matique ne peut se limiter à des inter-views mais doit comprendre desvérifications de l’efficacité des con-trôles. Ceux-ci sont essentiellementcompris dans les domaines Acqui-sition et implémentation (AI) et Dis-tribution et support (DS) de COBIT,qui fournit avec son Guide d’audit7
une aide précieuse.
Second constat : lescontrôles applicatifsdemeurent aujourd’hui leprincipal gap
Un fait divers a récemment illustrél’importance de ces contrôles appli-catifs : un négociant en titres a saisiun ordre en inversant le nombre de
Illustration 3: les 18 contrôles applicatifs identifiés par COBIT
„Therefore, the COBIT IT processes cover general IT controls, but not application controls, because these are the responsibility of business process owners and, as described previously, are integrated into business processes.”
DATA ORIGINATION/
AUTHORISATION CONTROLS
AC1 Data Preparation Procedures
AC2 Source Document Authorisation Procedures
AC3 Source Document Data Collection
AC4 Source Document Error Handling
AC5 Source Document Retention
DATA INPUT CONTROLS AC6 Data Input Authorisation
Procedures AC7 Accuracy, Completeness
and Authorisation Checks AC8 Data Input Error Handling
DATA PROCESSING
CONTROLS AC9 Data Processing Integrity AC10 Data Processing Validation
and Editing AC11 Data Processing Error
Handling DATA OUTPUT CONTROLS AC12 Output Handling and
Retention AC13 Output Distribution AC14 Output Balancing and
Reconciliation AC15 Output Review and Error
Handling AC16 Security Provision for
Output Reports BOUNDARY CONTROLS AC17 Authenticity and Integrity AC18 Protection of Sensitive
Information during Transmission and Transport
COBIT
11
dans les cinq mois qui suivent la datedu bilan: (a.) la comptabilité desassurances de prévoyance profes-sionnelle, (b.) les indications conce-rnant l’attribution au fonds d’excé-dents et la distribution des partsexcédents, … ».
Il est réjouissant d’apprendre quel’autorité de surveillance et ses parte-naires ont mis au point à l’échelonnational une comptabilité standard.
Il est revanche pour le moins pré-occupant de constater qu’il est prévudans un premier temps de tenir cettecomptabilité standard grâce à destableaux EXCEL.
Comment l’organe externe de révi-sion considérera-t-il les donnéesémanant de ces tableaux EXCEL, quipour certaines influencent directe-ment certaines positions au bilan dessociétés ? Quelle augmentation deshonoraires sera-t-elle nécessaire pourdonner une assurance raisonnablesur ces chiffres ? La situation sera-t-elle appréciée différemment si lacompagnie d’assurance est soumiseà SOX ? On peut dans tous les caspenser que les compagnies d’assu-rance suisses, qui devraient être lespremières intéressées à disposer dedonnées fiables, auraient été mieuxinspirées de développer directementleur standard dans un langage deprogrammation sérieux permettantde mettre en place les contrôlesapplicatifs appropriés.
Une fréquente absence decontrôles applicatifs dans lesprocessus de bouclementcomptable et d’établissementdes comptes
Les auditeurs ont vérifié que lesprocessus métiers alimentent cor-rectement les logiciels de compta-bilité et que ceux-ci digèrent ettraitent avec fiabilité les informations I l lustration 4 : le programme de comptabilité standard (Betriebsrechnung)
des assurances privées suisses, réalisé provisoirement avec EXCEL
reçues. Les contrôles appropriés sonten place, tant dans les applicationsessentielles aux processus métiersque dans les logiciels de comptabilité.Tout est donc pour le mieux.
Ce serait oublier d’une part que lebouclement va nécessiter un certainnombre d’écritures et d’opérationdans l’application comptable et,d’autre part, qu’un logiciel comptablen’est généralement pas en mesurede livrer à un imprimeur une versionimprimable des comptes annuels. Enpratique, les données vont passer àtravers de nombreuses opérationsinformatiques : elles sont extraites del’application comptable, transitentéventuellement par un tableur (enparticulier s’il s’agit d’établir lescomptes consolidés d’un groupe…),sont ensuite reprises dans un pro-gramme du type PageMaker ouInDesign, retravaillées en vue de leurpublication et finalement transmisesà l’imprimerie. Tous ces produitsinformatiques ont en commun uneabsence de gestion sérieuse desdroits d’accès et de traçabilité desmodifications. Compte tenu de cetteabsence de contrôles applicatifs, ceprocessus présente donc au moinsautant de risques de fraudes et
d’erreurs de présentation comptableque l’ensemble des processus situésen amont.
Le PCAOB confirme à cet égard dansune évaluation de novembre 20058
que « Some auditors did not performsufficient testing of the controls overpreparing financial statementdisclosures. The controls in this areaare among the most important in thefinancial reporting process becauseof the relatively high risk of materialmisstatement or omission due tofraud or error. »
Efficacité du contrôleinterne, qui doit auditerquoi et quand?
Le malentendu relevé par le PCAOBvient-il d’une interprétation trop rigi-de de la notion de « période » ? LePCAOB est-il lui-même suffisammentclair9 ? Les Normes d’audit suisses10
partent de l’idée qu’un audit dusystème de contrôle interne couvrel’exercice sous revue, alors que laréalité montre qu’en terme de ris-ques de fraudes et d’erreurs c’est lelaps de temps couvrant lebouclement et la préparation à la
COBIT
12
Vice-président ISACA (Suisse)Footnotes1 Public Company Accounting Oversight
Board2 Auditing Standard No. 2 – An Audit of
Internal Control Over Financial Reporting
Performed in Conjunction with An Audit of
Financial Statements, état février 20053 extraite de l’ouvrage « IT Control Objectives
for Sarbanes-Oxley », IT Governance Insti-
tute (www.itgi.org), 20044 „Control Objectives for Information and
related Technology (COBIT®)“, IT
Governance Institute (www.itgi.org)5 Voir par exemple, la décision prise en mars
2005 reconnaissant COBIT comme un des
instruments agréés pour assurer la sécurité
des données des agences chargées du
payement des aides agricoles.6 Voir sur ce thème l’excellent guide « Glo-
bal Technology Audit Guide Change and
Patch Management Controls: Critical for
Organizational Success », The Institute of
Internal Auditors, 20057 Pas encore disponible en version 4,08 « Report on the initial implementation of
Auditing Standard no 2», PCAOB, 30
novembre 20059 Voir par exemple le chiffre 101 de AS2:
„For controls over significant nonroutine
transactions, controls over accounts or
processes with a high degree of subjectivity
or judgment in measurement, or controls
over the recording of period-end
adjustments, the auditor should perform
tests of controls closer to or at the „as of“
date rather than at an interim date.“10 Voir par exemple le chiffre 37 de la NAS
400 : « L’auditeur doit déterminer si les
contrôles internes ont été appliqués tout
au long de la période »11 American Institute of Certified Public
Accountants12 „Testing should be applied to controls in
effect throughout the period covered by
the report. To be useful to user auditors,
the report should ordinarily cover a minimum
reporting period of six months.“, AICPA Pro-
fessional Standards, AU 324.0213 Voir par exemple l’annexe E (chiffres 29 à
50) de AS214 L’entreprise ACL est le sponsor officiel du
Guide (GTAG 3) publié par l’IIA sur ce thème
publication des comptes qui est lapériode de tous les dangers, doncbien après la fin de l’exercice.
En situation d’externalisation deservices, quelle valeur accorder à unrapport d’audit (par exemple SAS70)qui n’étant pas daté du 31 décembrene démontre pas que le prestatairede service disposait d’un SCI efficacedurant toute la période ? Dans lemême contexte, comment inter-préter l’opinion de l’AICPA11, quisemble admettre que les vérificationschez le prestataire de service nepuissent porter que sur six mois12 ?Ces questions du périmètre temporeldes contrôles mériteront probable-ment d’être encore approfondies.
La seconde question, toujours plussensible dans l’audit du SCI, est ladélimitation des tâches incombant àl’audit interne. Si le PCAOB règle demanière relativement précise lestâches que l’auditeur externe peutdéléguer à l’audit interne13, la délimi-tation des tâches entre la ligne etl’audit interne est plus floue.
L’IIA a récemment plaidé pour unrenforcement de la surveillancecontinue de l’efficacité des contrôlesen place. Il s’agit en réalité de mettreen place et d’institutionnaliser sousla responsabilité des auditeurs inter-nes une batterie de contrôlesdétectifs, souvent développés enrecourant à des logiciels d’audit14. Ondoit cependant se poser la question:les contrôles détectifs relèvent-ils dela surveillance du SCI ou sont-ilspartie intégrante du SCI ? L’avenirnous montrera si les auditeurs inter-nes auront pu éviter que la directionde l’entreprise saisisse cette perchetendue pour se débarrasser de laresponsabilité du contrôle interne etla transférer aux auditeurs. Ce risquene devrait pas être négligé.
Michel Huissoud, CISA, CIA
COBIT
13
Ja, aber…! COBIT 4.0 ist ein Instru-ment, um Informatikkontrollen zuschaffen und zu prüfen. Falsch ein-gesetzt, kann es zu überdimensionier-ten Prüfungen führen. Es muss zudemdurch applikationsorientierte Prüfun-gen ergänzt werden. Hier zeigen sichimmer wieder Überraschungen.
Die Prüfung des Internen Kontroll-systems (IKS) wurde durch dasPCAOB wieder aktiviert, und das istgut so. Damit sollen die Forderungendes Sarbanes-Oxley Acts (SOX) durch-gesetzt werden. Es stellen sich jedochbei der Einbindung der Informatik indas IKS etliche Fragen. Es wäre falschanzunehmen, dass die Bestimmun-gen aus den Vereinigten Staaten nureinige wenige (in den USA kotierte)Schweizer Gesellschaften betreffen.
COBIT 4.0
Bringt COBIT 4.0 eine Antwort auf dieErwartungen des PCAOB?
Zukünftige Europäische Vorschriftenwerden sich daran anlehnen undauch das Schweizerische Obligatio-nenrecht wird sich am Ende nicht vorden Anforderungen drücken können.Somit ist die richtige Integration derInformatik in das IKS auf mittlereSicht unabdingbar.
Für Diskussionszwecke ist es nützlich,der Terminologie des Revisionsstan-dards Nr. 21 zu folgen. Das PCAOBunterscheidet:
Generelle Kontrollen auf Unter-nehmungsebene (company- oderentity-level controls),
Applikationskontrollen (applica-tion controls) und
Applikationsunabhängige Kon-trollen (IT general controls).
Darstellung 1: Arten der Kontrollen nach PCAOB
Darstellung 12 zeigt, dass nur diezweite Art der Kontrollen direkt aufdie Geschäftsprozesse einwirken.
Erste Feststellung: COBIT 4.0erlaubt mit Ausnahme derApplikationskontrollen dieIT-Kontrollen zuberücksichtigen.
Die Veröffentlichung vom Dezember2005 der Version 4.0 von COBIT3 nahmeinige Begradigungen vor, die sichauf die Forderungen des PCAOB zu-rückführen lassen.
Sowohl die EU-Kommission4 als auchdas Institute of Internal Auditors (IIA)bestätigen diese Ansicht. COBIT istheute das wichtigste Instrument zurBeherrschung (Governance) der Infor-matik um die Direktiven der EU unddes SOX umzusetzen.
Dabei sind allerdings die folgendendrei Regeln zu beachten:
Integration der Informatik beider Analyse der Kontrollen aufUnternehmens-ebene (company-oder entity-level controls)
Die Kontrollen auf Unternehmens-ebene sind nur wirksam, wenn sieglobaler Natur sind. Es ist deshalbwichtig, dass die Systemkontrollenumfassend sind.
Sie müssen z.B. eine Risikoana-lyse enthalten, welche auf die Ge-schäftsrisiken bei einer Informatik-panne eintreten.
Die Abwehrmechanismen müs-sen sowohl die Veruntreuungsver-suche als auch die pädophil/porno-graphischen Elemente umfassen.
Die Aufsicht muss sowohl die Kun-denreklamationen als auch die un-berechtigten Zugriffsversuche be-rücksichtigen.
etc.
COBIT
14
b) Patch Management5
Das Zurückgreifen auf Standardsoft-ware ist eine wirtschaftlich gute Lö-sung für viele Anwender. Die Praxiszeigt, dass die auf dem Markt ange-botenen Produkte oft Fehler enthal-ten, deren Behebung durch die Liefe-ranten mittels so genannten Patchesrealisiert werden. Das Problem liegtnun darin, dass beim Programmunter-halt nur in Ausnahmefällen darauf ge-achtet wird, dass vor Einspielen in dieProduktion ein eingehendes Testenvorangehen sollte. Die Informatikerhaben die Tendenz zu unterstellen,dass diese Patches richtig funktionie-ren und kein Risiko für die Produkti-on darstellen. Dies ist wahrscheinlichfür 99% der Fälle zutreffend. Wennaber eine Panne eintrifft, hat sie oftschlimme Folgen. Daher die Empfeh-lung, Patches vor dem Einspielen indie Produktion eingehend zu testenund in den ersten Tagen der Produk-tion die Ergebnisse aufmerksam zuverfolgen, um das Risiko einschätzenzu können.
Diese Beispiele zeigen deutlich, dassder Revisor gut daran tut, sich zuvergewissern, ob die Unternehmungangemessene Massnahmen ergriffenhat, um den Forderungen gemässCOBIT PO4.6 bis 4.9 gerecht zu wer-den.
Verstehen der Geschäftsprozesseund Identifikation derAnwendungskontrollen(application controls)
Es ist wichtig zu erkennen, dassCOBIT zwar die Applikationskontrollenerwähnt (siehe Darstellung 3), sieaber nicht in die 34 Basisprozesseintergriert hat.
Diese Kontrollen sind dennoch rudi-mentär und bedürfen einer Ergän-zung der mit den Prozessen verbun-denen Risiken, weil COBIT hier nichtsehr hilfreich ist.
Mehrere Prozesse der Domäne Pla-nung und Organisation (PO) und Auf-sicht (ME) von COBIT sind bestensfür diese Zwecke geeignet.
Die Revisionstätigkeiten können sichauf oberflächliche Prüfungen, die aufSelbsanalysen beruhen, beschrän-ken.
Immerhin muss der Revisor einigezentrale Fragen eingehend prüfen.Eine davon ist jene der Eigner vonAnwendungen und Daten.
In einem Artikel im SchweizerischenTreuhänder (2004/10) wurde fest-gehalten, dass die Beherrschung derInformatik durch die Benützer wahr-genommen wird. Diese sind Eignerder Daten und Anwendungen. Alssolche müssen sie sich z.B. durchgeeignete Tests bezüglich der Rich-tigkeit jegliche Änderung der Soft-
ware vergewissern. Zwei Beispielemögen dies illustrieren.
a) EAI/SOADie Enterprise Application Integration(EAI) und die Service Oriented Archi-tecture (SOA) weisen die gleicheSchwäche auf. Durch die Eliminierungvon redundanten Informationen wer-den die Grenzen zwischen den An-wendungen niedergerissen. Zins-berechnungen, die Fakturierung, etc.werden nicht mehr von Applikationzu Applikation weitergegeben, son-dern sind in der so genanntenMiddleware enthalten und stehenverschiedenen Anwendungen zurVerfügung. Daraus ergibt sich dieProblematik, dass eine allfällige Än-derung durch sämtliche Anwendun-gen getestet werden müsste. Einesehr sowohl auf technischer als auchauf organisatorischer Seite komple-xe Angelegenheit.
Darstellung 2: Einige wichtige Änderungen der Version 3 zu 4.0 von COBIT
COBIT 3 COBIT 4.0
Der Management-Guide und die Kon-trollziele sind separat festgehalten.
Ein einziges Werk definiert für jeden der 34 Informatikprozesse die Ziele, den Reifegrad und ihre Erfolgs-indikatoren.
Vereinzelte Applikationskontrollen sind in den Kontrollzielen DS5 «Systemsicherheit» und DS11 «Daten-management» enthalten
18 Applikationskontrollen wurden identifiziert (AC1 bis AC18), die aus den Prozessen DS5 und DS11 stam-men. Sie werden von COBIT nur kurz beschrieben und nicht weiter be-handelt (siehe Darstellung 3).
PO04 befasst sich mit der allgemeinen IT-Organisation.
Der neue Prozess PO04 geht detailliert auf das Thema «Dateneigners» ein.
Bei jedem der 34 Kontrollziele be-schränkt sich COBIT nicht mehr auf die Informatik, sondern folt deinem RACI-Modell (who is Responsible, Account-able, Consulted and/or Informed).
Die 34 Prozesse sind gleichberechtigt und die Verknüpfungen werden nicht explizit behandelt.
COBIT 4.0 weist auf die Abhängig-keiten hin. Z.B. können die Kosten für die Fortführung im Rahmen von PO5 zur Beschaffung einer neuen An-wendung führen (AI2) und diese wiederum kann eine Adaption des Sicherheitskonzeptes (DS5) nach sich führen.
COBIT
15
Punkt 2 nachstehend geht auf dieseArten von Kontrollen im Detail ein.
Die allgemeinen Informatik-Kontrollen (IT general controls)nur in dem Sinne behandeln, alssie für die Richtigkeit derAnwendungsfunktionen vonBedeutung sind.
Fachartikel beanstanden, dass SOX-Revisionen oft jedes Mass an Vernunftüberschreiten. Die Dicke der Brand-mauern im Rechenzentrum hat wohlkaum einen direkten Einfluss auf dieRichtigkeit der Jahresrechnung einerinternationalen Unternehmung. Sol-che Fragestellungen nagen an derGlaubwürdigkeit des Revisionsstan-des und lassen die Aktionäre zu Rechtdaran zweifeln, ob die Höhe der Re-visionshonorare angemessen ist.
Derartige Auswüchse können durcheinen Top-down Approach, wie ervom PCAOB vorgesehen ist, vermie-den werden.1) Bestimmen der wichtigen Postender Jahresrechnung.2) Identifikation der Anwendungen,welche diese Positionen generieren.3) Identifizieren der Informatikan-wendungen, welche für diese An-wendungen wesentlich sind.4) Revision lediglich jener allgemei-nen Kontrollen, die für das Funktio-nieren dieser Anwendungen verant-wortlich sind.
Wenn z.B. eine Unternehmung nureinen geringen Teil des Umsatzesdurch eine isolierte Anwendung ime-Commerce erzielt, sollte der Revi-sor den «Mut» aufbringen, diesenTeil der Anwendungen ganz zu igno-rieren.
Die Revision der allgemeinen Infor-matikkontrollen sollte sich nicht aufInterviews beschränken, sondern um-fasst auch Einhalteprüfungen. Sie sindin den Domänen Acquisition und Im-
plementation (AI) sowie Distributionand Support (DS) von COBIT wichtig,wobei der Audit-Guide6 wertvolleHinweise bietet.
Zweite Feststellung: DieAnwendungskontrollenbleiben auch heute nochdie grösste Lücke
Eine Geschichte machte letzthin dieRunde: Ein Wertschriftenhändler er-fasste einen Auftrag, wobei er Be-trag und Anteile verwechselte. Erverkaufte 610’000 Aktien für einenYen anstatt eine für 610’000 Yen zuverkaufen. Der Fehler, der durch eineleichte Plausibilitätskontrolle hättevermieden werden können, kostetedie Bank 290 Millionen Franken.
Zwei Beispiele illustrieren, dass heu-te noch viele wichtige Risiken ver-nachlässigt behandelt werden. Unddies sowohl durch die Anwender alsauch durch die Revisoren.
„Therefore, the COBIT IT processes cover general IT controls, but not application controls, because these are the responsibility of business process owners and, as described previously, are integrated into business processes.”
DATA ORIGINATION/
AUTHORISATION CONTROLS
AC1 Data Preparation Procedures
AC2 Source Document Authorisation Procedures
AC3 Source Document Data Collection
AC4 Source Document Error Handling
AC5 Source Document Retention
DATA INPUT CONTROLS AC6 Data Input Authorisation
Procedures AC7 Accuracy, Completeness
and Authorisation Checks AC8 Data Input Error Handling
DATA PROCESSING
CONTROLS AC9 Data Processing Integrity AC10 Data Processing Validation
and Editing AC11 Data Processing Error
Handling DATA OUTPUT CONTROLS AC12 Output Handling and
Retention AC13 Output Distribution AC14 Output Balancing and
Reconciliation AC15 Output Review and Error
Handling AC16 Security Provision for
Output Reports BOUNDARY CONTROLS AC17 Authenticity and Integrity AC18 Protection of Sensitive
Information during Transmission and Transport
Darstellung 3: Die 18 durch COBIT identifizierten Kontrollen
Das Finanz-Standardprogrammder SchweizerVorsorgeeinrichtungen
Seit dem 1. Januar 2005 müssen dieVorsorgeeinrichtungen zuhanden derSozialversicherungsaufsicht eine Be-triebsrechnung vorlegen, welche sichvon den übrigen Teilen des Unter-nehmens abgrenzt. Ein sinnvollesVerlangen, wenn man bedenkt, dassEnde 2004 118 Milliarden Franken2,3 Millionen Versicherten «gehör-ten».
Diese «Buchhaltung» ist ein wichti-ges Instrument für die Staatsaufsicht,welche die Deckungen der Versicher-ten zu kontrollieren hat. Das Systemwird deshalb vielerorts als Ergänzungzur Finanzbuchhaltung der Vorsorge-einrichtungen verstanden.Im weiteren hält die seit 1.1.2006 inKraft stehende Verordnung in Art 140(Informationspflicht) fest: «Das Ver-sicherungsunternehmen stellt fünfMonate nach Bilanzerstellung (a.)
COBIT
16
auf Perioden ausserhalb dieses en-gen Zeitraumes, etliche nach Ab-schluss.
Bei Outsourcing (beispielsweise beiAnwendung von SAS70) kann mansich die Frage stellen, ob bei Datie-rung des Revisionsberichtes ausser-halb des 31. Dezembers der Berichts-periode ein wirksames IKS währendder Berichtsperiode bestand. Im glei-chen Zusammenhang ist die Frageberechtigt, wie die Meinung derAICPA10 zu interpretieren ist, wonacheine entsprechende Prüfung nur eineGültigkeit von sechs Monaten habensoll. Hier sind wohl noch tiefer ge-hende Überlegungen angebracht.
Eine weitere Frage drängt sich be-züglich der durch die Interne Revi-sion hinischtlich des IKS auf. DasPCAOB regelt die Delegationsmög-lichkeit der externen Revision an dieInterne11 in sehr beschränktem Aus-mass.
Die IIA hat kürzlich für ein stärkereslaufendes Überwachen des IKS plä-diert. Dabei soll zugunsten der Inter-nen Revision vermehrt Audit Softwa-re12 zum Einsatz kommen. Dabeidarf man sich die Frage stellen, ob
das Versichertenkonto der Berufs-versicherung, (b.) die Kennzahlen zurDeckung…».
Es ist zwar erfreulich festzustellen,dass die Aufsichtsbehörde ein Hilfs-mittel zur Unterstützung der Bilanzer-stellung zur Verfügung stellt. Es istanzunehmen, dass die Berechnun-gen einige Zeit auf EXCEL-Tabellenbleiben.
Wie verhält sich nun die externeRevisionsstelle bezüglich der ausEXCEL resultierenden Tabellen, wel-che direkt Positionen der Bilanz desgeprüften Unternehmens beeinflus-sen? Welche Erhöhung der Honora-re wird notwendig sein, um die Rich-tigkeit der Zahlen zu überprüfen?Was sind die Auswirkungen auf Un-ternehmen, welche SOX unterlie-gen? Es wäre eigentlich anzuneh-men gewesen, dass sich die Vor-sorgeunternehmen (die ja ein vitalesInteresse daran haben müssen, dassdie Zahlen zuverlässig sind) sich ei-ner Programmiersprache bedienthätte, welche strengere Applikations-Plausiblitäten zulässt als EXCEL.
Häufiges Fehlen vonApplikations-Kontrollen beimAbschluss und beim Erstellender Jahresrechnung
Die Revisoren prüfen oft das richtigeFunktionieren der Kontrollen in denAnwendungen. Die Zuverlässigkeitdes Datenmaterials in den Anwen-dungen und zwischen den Anwen-dungen scheint gegeben. Desto bes-ser.
Oft geht vergessen, dass für die Dar-stellung in Bilanz und Erfolgsrechnungnoch Abschlussbuchungen notwen-dig sind, die nicht direkt in den An-wendungen vorgesehen sind, jedochüber die Informatik laufen. In derPraxis werden diese Zahlen vielfachdirekt via PageMaker oder InDesign
eingegeben, ohne entsprechendePlausibilitätskontrollen zu durchlau-fen, von Zugriffssicherheiten ganz zuschweigen.
Das PCAOB bestätigt in diesem Zu-sammenhang in einer Feststellungvom November 20057, «Someauditors did not perform sufficienttesting of the controls over preparingfinancial statement disclosures. Thecontrols in this area are among themost important in the financialreporting process because of therelatively high risk of materialmisstatement or omission due tofraud or error ».
Wirksamkeit des IKS: Wasist zu prüfen und inwelchen Fällen?
Durch das PCAOB hervorgerufeneMissverständnisse können auf derengen Interpretation des Wortes«period» beruhen. Das PCAOBdrückt sich in dieser Hinsicht leidernicht sehr klar aus8. Der Schweizeri-sche Prüfungsstandards9 gehendavon aus, dass eine Prüfung des IKSdie Periode der Jahresrechnung um-fasst. Viele Fehler entstehen jedoch
Darstellung 4: Standardisierte Betriebsrechnung der Vorsorgeeinrichtungen, realisiert mit
EXCEL
COBIT
17
diese detektiven Kontrollen ein Mit-tel der Überwachung des IKS oderTeil des IKS selbst sind. Die Zukunftwird zeigen, ob die Internen Reviso-ren den Ball dem Management zu-gespielt haben, oder ihre Verantwort-lichkeit wahrnehmen. Auf jeden Falldarf das Risiko einer ungenügendenKontrolle bzw. Prüfung nicht vernach-lässigt werden.
Michel Huissoud, CISA, CIAVice-président ISACA (Suisse)
Übersetzung durch die Redaktion
Endnoten1 Auditing Standard No. 2 – An Audit of
Internal Control Over Financial Reporting
Performed in Conjunction with An Audit of
Financial Statements, état février 20052 extraite de l’ouvrage « IT Control Objec-
tives for Sarbanes-Oxley », IT Governance
Institute (www.itgi.org), 20043 „Control Objectives for Information and
related Technology (COBIT®)“, IT Gover-
nance Institute (www.itgi.org)4 Z.B. der Beschluss vom März 2005, CobiT
als ein Instrument der Datensicherheit bei
der Auszahlung der Landwirtschaftshilfe
anzuerkennen.5 Siehe zu diesem Thema «Global Tech-
nology Audit Guide Change and Patch Ma-
nagement Controls: Critical for Organi-
zational Success», The Institute of Internal
Auditors, 20056 Noch nicht verfügbar in Version 4.0
In einer mondänen Manager-Bar da stand ein Klavier.Getrunken wurde Rum, Wodka, Gin aber auch Bier.Von CobiT wurde geflunkertUnd Whiskey gebunkert.Der Takt des Manns am Klavier ist seither eher bei Vier.
An astronaut auditor trained for a longer discovering trip.She thought to have all board members firm in her grip.When finally off the launch pad in orbit,She encountered a new version of CobiT,Made a space walk and lost contact with the mothering ship.
7 « Report on the initial implementation of
Auditing Standard no 2», PCAOB, 30
novembre 20058 Siehe Ziffer 101 AS2: „For controls over
significant nonroutine transactions, controls
over accounts or processes with a high
degree of subjectivity or judgment in
measurement, or controls over the recor-
ding of period-end adjustments, the auditor
should perform tests of controls closer to or
at the „as of“ date rather than at an interim
date.“9 Sieh Ziffer 37 AS 400 : « L’auditeur doit
déterminer si les contrôles internes ont été
appliqués tout au long de la période »10 American Institute of Certified Public
Accountants11 Siehe Anhang E, Ziffer 29 bis 50) AS12 ACL ist Sponsor des Guide (GTAG 3) des
IIA
Express Line
18
Vor sieben Monaten wurde der Schlei-er gelüftet: die komplett überarbei-tete Version COBIT 4.0 war die erstenTage exklusiv für die ISACA-Mitglie-der und danach für alle Interessiertefrei von www.isaca.org herunterlad-bar. Wahrscheinlich hat sich unter-dessen jeder Leser ein eigenes Exem-plar beschafft. Der erste Eindruck?Die Struktur erscheint uns (zumGlück) im Grossen und Ganzen be-kannt; die einzelnen Elemente wieCOBIT Kontrollziele, COBIT IT-Prozes-se, COBIT Management Guidelinesund COBIT Maturity Modell sind unsebenfalls erhalten geblieben – wennauch deutlich entschlackt und ganznett in einem einzigen „Buch“ ver-packt.
Da mein CISA-Kurs immer wiederauf die relevanten COBIT Kontrollzieleverweist, war ich für den im Januargestarteten Kurs gezwungen, dieKontrollziele genauer anzuschauen –und da kam ich auf die Welt: Kaumein einziges Kontrollziel ist textlicherhalten geblieben; einzelne Kontroll-ziele sind verschwunden, andere biszur Unkenntlichkeit (positiv) überar-beitet und einige mit anderen Kon-trollzielen zu einem einzigen neuenZiel verschmolzen. Eigentlich toll,wenn es nur nicht so viel Aufwandfür die Anpassung der Skripte bedeu-tet hätte.
Auf der anderen Seite zwang michder CISA-Kurs dazu, auch die ande-ren Elemente von 4.0 genauer an-zuschauen, und ich entdeckte eini-ge ganz interessante Neuigkeiten: Soz.B. die RACI-Chart und die Input/Output-Referenzen für alle COBIT IT-Prozesse. Wer COBIT 3rd ed. gut kennt,
wird einige der Informationen ausden (noch nicht) überarbeiteten Au-dit Guidelines von COBIT 3 wieder er-kennen. Sie sind aber viel anschauli-cher präsentiert, wesentlich erweitertund in der aktuellen Form sehr nütz-lich.
Unsere ersten Erfahrungen in derRevisions- und Beratungspraxis sindebenfalls positiv. Zwar ist COBIT 4.0immer noch ein Framework, mit demman sich intensiv auseinandersetzenmuss. Die Kombination aller wesent-lichen, nach den IT-Prozessen sortier-ten, Informationen in einem einzigenBuch hilft dabei, dass die verschie-denen Elemente wie Kontrollzieleund Management Guidelines als zu-sammengehörig erkannt werden,was dem Verständnis von Leser undAnwender sehr förderlich ist. Diebessere Ausrichtung auf ITIL hat unsals Berufsstand viel näher zur „Frak-tion“ der Management Systeme wieBS15000/ISO20000, ISO27001 (vor-mals BS7799-2) usw. gebracht, dadie verwendeten Begriffe und diewesentlichen Inhalte angeglichenwurden. Einzelne IT-Verantwortlichesehen daher COBIT bereits als Erwei-terung des ITIL-Frameworks …
Dass der Markt auch sehr an COBIT4.0 interessiert ist, erkennt man anden zahlreichen Referenzierungenz.B. in Seminaren oder Tagungen:Kaum ein Anlass, ohne dass COBITnicht mindestens einmal auf der Aus-schreibung erscheint. Und bereits gibtes mehrere Anbieter, welche COBIT-Kurse im Programm haben. Hier zeigtsich nun eine typische Auffassungauch unserer Mitglieder (hoffentlichnicht bei zu vielen!): Man ist der An-
sicht, dass man die frei vom Internetherunter ladbaren Unterlagen auchohne weiteres in einem kommerziel-len Kurs verwenden darf. Dem istaber nicht so: Das Urheberrecht liegtnach wie vor beim IT GovernanceInstitute (ITGI) und dieses vergibt (inder Regel sehr kostengünstige) „Li-zenzen“ an die Ausbildungsinstitute,welche COBIT im Unterricht einsetzenwollen. Gemäss unserem Kenntnis-stand gibt es in Europa (inkl. Schweiz)erst ganz wenige Unternehmen,welche so eine offizielle Erlaubnis ha-ben.
Übrigens – in einem guten Monatwird die deutsche Version von COBITauf den Markt kommen; wahrschein-lich von den Webseiten von ISACADeutschland, Oesterreich und derSchweiz frei herunterladbar. Aberauch hier gilt: Das Urheberrechtbleibt beim ITGI; eine Verwendungim Rahmen kommerzieller Veranstal-tungen muss vom ITGI vorgängigbewilligt werden. Die massgeblichvon unseren Kollegen in Oesterreichvorangetriebene Übersetzung wirdals „Neuheit“ die strikte Verwendungvon bestimmten COBIT-Begriffen imOriginal bringen: Controls, High-Le-vel Control Objective, KPI, Best Prac-tice, Information Criteria usw. wer-den grundsätzlich nicht mehr über-setzt. Auch andere Fachbegriffe wer-den im Original verbleiben, wenn siebeispielsweise auch bei uns oft inEnglisch verwendet werden. DasGanze ist derzeit in einer Phase des„Fine Tuning“ und sieht sehr vielver-sprechend aus.
Schauen Sie doch mal wieder beiden Webseiten www.isaca.de,www.isaca.at und www.isaca.chvorbei. Viel Erfolg mit der Anwen-dung von COBIT 4.0 wünscht Ihnen
Peter R. Bitterli, CISA
COBIT 4.0
Von COBIT 3rd edition zu COBIT 4.0 in30 Sekunden?
Express Line
19
Im Dezember 2005 wurde vom ITGovernance Institute (ITGI) die aktu-ellste Version 4.0 von COBIT veröffent-licht, die einige wesentliche Ände-rungen und Erweiterungen gegen-über der Version 3 aufweist. COBIT 4ist eine Weiterentwicklung von COBIT3. Durch die neue Version sind bis-herige Arbeiten nicht in Frage gestelltoder gar obsolet werden. Auf Grundder vorgenommenen Änderungenmuss der Anwender beim Umstiegvon COBIT 3 auf COBIT 4 allerdings dochmit einem gewissen Anpassungs-aufwand rechnen.
Mit COBIT 4 wird die international an-erkannte Rolle von COBIT als übergrei-fendes Framework für IT-Governancebetont. Es wurde eine bessere Ab-stimmung mit dem COSO Frame-work vorgenommen, indem die Ver-bindung von Geschäftszielen zu IT-Zielen und zu den einzelnen Kontroll-zielen mit den Informationskriterienklar aufgezeigt wird (die entspre-chenden Referenztabellen befindensich im Anhang I zu COBIT 4). Ausser-dem wurden verschiedene Anpas-sungen vorgenommen, um die Inte-gration der verbreitetsten internatio-nalen Standards wie
ISO 17799,ITIL,CMM/CMMI,PMBOK,ISF Standard of Good Practice for
Information Securityzu verbessern.
Die Unterschiede zwischen den bei-den Versionen sind teilweise substan-tiell und werden im Folgenden dar-gestellt.
COBIT 4.0
Vergleich COBIT 3 vs. COBIT 4
Physischer Aufbau
Während in COBIT 3 die unterschied-lichen Informationen in verschiede-nen Dokumenten (Executive Over-view, Framework, Control Objectives,Management Guidelines) zu findensind, wurden die wesentlichen Ele-mente in COBIT 4 in einem einzigenDokument zusammengefasst. Execu-tive Overview und Framework sindnun als die ersten beiden Kapitel imCOBIT 4 Manual enthalten. Der Inhaltder ehemaligen Management Guide-lines ist in Form von Maturity Model-len in die einzelnen übergeordnetenKontrollziele integriert. Ausserdemsind in einem umfassenden AnhangQuerverweistabellen aufgeführt, dieeinen guten Überblick über die Zu-sammenhänge zwischen COBIT undden übergeordneten Frameworksgeben sowie einen Vergleich zwi-schen den detaillierten Kontrollzielenvon COBIT 3 und COBIT 4 ermöglichen.
Executive Overview
In diesem Übersichtskapitel werdenStruktur und Ziele von COBIT 4 gene-rell vorgestellt, wobei die Aspektedes IT-Governance mit den Schwer-punkten
Strategische AusrichtungWertschöpfungRessourcenverwaltungRisikomanagementMessung der Ergebnisse
speziell betont werden und derZusammenhang zwischen den Ge-schäftszielen und den IT-Zielen sowieden Kontrollzielen hergestellt wird.
Framework
Das COBIT 4 Framework beschreibtdie Elemente von COBIT 4 im einzel-nen. Neu ist, dass in COBIT 4 nur nochvier IT-Ressourcen existieren: der Aus-druck „Daten“ aus COBIT 3 wurdeersetzt durch den allgemeineren Be-griff „Informationen“ und die beidenElemente „Technologien“ und „An-lagen“ wurden zusammengefasst zu„Infrastruktur“. Die sieben Informa-tionskriterien blieben unverändert.Eine weitere Änderung gegenüberCOBIT 3 besteht darin, dass allgemeingeltende Prozess- und Applikations-kontrollen aus den einzelnen Kontroll-zielen herausgelöst wurden und inzwei Gruppen PC1 bis PC6 und AC1bis AC18 separat im Framework auf-geführt werden. Dadurch konntendie 34 COBIT-Kontrollziele wesentlichgestrafft werden, was in der Reduk-tion der Zahl der detaillierten Kontroll-ziele von 318 auf 215 zum Ausdruckkommt.
Prozesskontrollen
Die nachfolgenden Prozesskontrollenbeschreiben allgemein gültige Kon-trollen, die für sämtliche Prozesse gel-ten und die als Ergänzung zu den je-weiligen detaillierten Kontrollzielenzu verstehen sind:PC1 Prozess EigentümerPC2 WiederholbarkeitPC3 Vorgaben und ZielePC4 Aufgaben und Verantwortlich-keitenPC5 Prozess-LeistungPC6 Richtlinien, Pläne und Arbeits-anweisungen
Applikationskontrollen
Die 18 folgenden Applikationskon-trollen sind aus der Sicht von COBITkeine eigentlichen IT-Kontrollen, son-dern liegen in der Verantwortung derGeschäftsbereiche und sind daher im
Express Line
20
Rahmen von COBIT als Empfehlungaufzufassen:AC1 DatenaufbereitungAC2 Genehmigung von Original-belegenAC3 Erfassung der OriginalbelegeAC4 Fehlerbehandlung bei Original-belegenAC5 Aufbewahrung von Original-belegenAC6 Ermächtigung zur DateneingabeAC7 Prüfung der Richtigkeit, Vollstän-digkeit und GenehmigungAC8 Behandlung fehlerhaft eingege-bener DatenAC9 Integrität der DatenverarbeitungAC10 Überprüfung und Überarbei-tung der DatenverarbeitungAC11 Fehlerbehandlung bei der Da-tenverarbeitungAC12 Handhabung und Aufbewah-rung von OutputAC13 Output-VerteilungAC14 Abgleich und Abstimmung desOutputsAC15 Output-Überprüfung und Feh-lerbehandlungAC16 Sicherheitsvorschriften für Out-putAC17 Authentizität und IntegritätAC18 Schutz sensibler Informationenwährend der Übertragung oder beimTransport
Struktur des Hauptteils
Der Hauptteil von COBIT 4 besteht ausder detaillierten Beschreibung der 34COBIT-Prozesse, die jeweils in die vierAbschnitte1. High-Level Control Objective,2. Detailed Control Objectives,3. Management Guidelines und4. Maturity Modelgegliedert sind.
High-Level Control Objectives
Der Abschnitt Control Objectives ver-bindet das Framework mit detaillier-ten Kontrollzielen aus im wesentli-
chen sechs primären Quellen (ent-sprechend Anhang IV), welche defacto und de jure internationale Stan-dards und Verordnungen in Bezug aufdie Informatik umfassen. Er enthältAussagen zum gewünschten Ergeb-nis oder zum Ziel, das mit der Imple-mentation von spezifischen Kontroll-verfahren innerhalb der IT-Aktivitäterreicht werden soll. Er stellt damiteine weltweit und für alle Industrienklare Politik und bewährte Praktikenfür IT-Kontrolle zur Verfügung.
Für jeden IT-Prozess werden die über-geordneten Kontrollziele sowie de-ren Beziehung zu den
IT Governance Schwerpunktthe-men (Strategische Ausrichtung, Wert-schöpfung, Ressourcenverwaltung,Risikomanagement und Leistungs-messung)
COSO Komponenten (Kontroll-umfeld, Risikobeurteilung, Kontroll-funktionen, Information und Kommu-nikation, Überwachung)
COBIT 4 IT-Ressourcen (Menschen,Informationen, Applikationen, Infra-struktur)
COBIT 4 Informationskriterien(Wirksamkeit, Wirtschaftlichkeit, Ver-traulichkeit, Integrität, Verfügbarkeit,Konformität, Zuverlässigkeit)
Die übergeordneten Kontrollziele(High Level Control Objectives) sindalle in einer strukturierten Form ge-mäss der Wasserfall-Darstellung inAbbildung 1 formuliert.
Detailed Control Objectives
Der zweite Abschnitt enthält, wie be-reits in COBIT 3, zu jedem Prozess diedetaillierten Kontrollziele in Form vongenerisch formulierten Aktivitäten.
Die Informationen in diesem Teil sindgegenüber COBIT 3 deutlich verdich-tet und prägnanter formuliert. Durchdie Auslagerung der Process Controlsund der Application Controls in denTeil „Framework“ wurden vielfältigeRedundanzen beseitigt. Ausserdemwurde die Formulierung deutlich ge-strafft, so dass von den ehemals 318Kontrollzielen nur noch 215 übrig ge-blieben sind, die zudem noch wesent-lich treffender formuliert sind.
Management Guidelines
Der dritte Abschnitt „ManagementGuidelines“ ist in COBIT 4 vollständigneu gestaltet und enthält die dreiElemente „Input-Output“, „RACI-Chart“ sowie „Goals and Metrics“.
In der Input-Output-Tabelle wird dasZusammenwirken der einzelnen Pro-zesse aufgezeigt. Es wird beschrie-ben, welche Ergebnisse aus anderenProzessen als Input für den betref-fenden Prozess dienen und welcheErgebnisse dieser Prozess für die an-deren Prozesse bereitstellen muss.Abbildung 2 zeigt ein Beispiel für denProzess DS 5 „Sicherstellen derSystemsicherheit“.
Abbildung 1: Wasserfall
Die Kontrolle über denIT-Prozess
zur Erfüllung vonGeschaftsanforderungenan IT unter Fokussierung auf
Wichtigste IT-Ziele
wird erreicht durchSchlüsselkontrollen
und gemessen durchSchlüsselkennzahlen
Express Line
21
Als zweites neues Element zu denManagement Guidelines gibt es zujedem Prozess eine „RACI-Chart“, inder zu den wesentlichen Aktivitäten,die zu dem Prozess gehören, den ver-schiedenen Jobfunktionen zugeord-net werden. In Form einer Matrix wer-den einerseits die Aktivitäten undandererseits die beteiligten Jobfunk-tionen dargestellt. An den Schnitt-punkten der Matrix wird jeweils an-gegeben, welche Rolle die betreffen-de Funktion in der jeweiligen Aktivi-tät spielt. Es wird hier angegebenR=resposable (zuständig für dieDurchführung), A=accountable (ver-antwortlich für das Ergebnis), C=con-sulted (wird zur Beratung beigezo-gen), I=informed (wird informiert).
Das dritte Element der ManagementGuidelines ist eine Zusammenstel-lung von prozessspezifischen Zielenund Metriken und hilft bei der Fest-legung konkreter Ziele (Was soll er-reicht werden?) sowie der Metrikenzur Feststellung des Zielerreichungs-grades (Wie kann die Zielerreichunggemessen werden?). In einer kaska-dierten Darstellung werden Tätig-keitsziele, Prozessziele und IT-Zielemit zugehörigen Kern-Ziel-Grössen(key goal indicators – KGI) und Pro-zess-Ziel-Grössen (key performanceindicators – KPI) aufgeführt. Damitkann zwischen Leistungsmessung fürden Prozess (KPI) sowie Zielerrei-chung (KGI) für den jeweiligen Pro-zess und für die IT insgesamt unter-schieden werden.
Dieses System ersetzt die aus COBIT3 bekannten Elemente Critical Suc-cess Factors, Key Goal Indicators undKey Performance Indicators.
Maturity Model
Der jeweils vierte und letzte Abschnittzu den einzelnen COBIT-Prozessen ent-hält die sechsstufige Beschreibung der„Reifegrade“ des Prozesses. Es wer-den jeweils die Situationen beschrie-ben, die typischerweise in der betref-fenden Maturitätsstufe anzutreffensind. Durch Vergleich mit tatsächlichvorgefundenen Situationen lässt sichdamit relativ einfach eine Einstufungvornehmen, die eine Beurteilung desProzessreifegrades in einem spezifi-schen Unternehmen erlaubt.
Die Maturitätsmodelle wurden an dieneue Prozessstruktur angepasst undzur Beurteilung der Reifegrade wur-den die folgenden Kriterien definiert:
Awareness und KommunikationRichtlinien, Standards und Pro-
zesseHilfsmittel und AutomatisierungFähigkeiten und ExpertenwissenZuständigkeit und Verantwortlich-
keitZielsetzung und Messung der Ziel-
erreichung
Gegenüber COBIT 3 sind die Beschrei-bungen insgesamt stark überarbeitetund konkreter formuliert worden.
Die folgenden sechs generischenCOBIT-Maturitätsstufen sind definiert:0 Es existieren keine Management-prozesse1 Prozesse sind spontan und nichtorganisiert2 Prozesse laufen geordnet nachVorlagen ab3 Prozesse sind dokumentiert undkommuniziert4 Prozesse werden überwacht undgemessen
Abbildung 2: Sicherstellen der Systemsicherheit.
DS5 Sicherstellen der Systemsicherheit
Abbildung 3: RACI Chart
RACI Chart PO10
CEO
CFO
Busi
ness
Exe
cutiv
e
CIO
Busi
ness
Pro
cess
Ow
ner
Hea
d O
pera
tions
Chi
ef A
rchi
tect
Hea
d D
evel
opm
ent
Hea
d IT
Adm
inis
tratio
n
PMO
Com
plia
nce,
Aud
it R
isk
ans
Secu
rity
Define a programme/portfolio framework for IT investments C C A R C C
Establish and maintain an IT project management framework
I I I A/R I C C C C R C
Establish and maintain an IT project monitoriing , measurement and management system
I I I R C C C C A/R C
Build project charters, schedules, quality plans, budgets, and communication and risk management plans. C C C C C C C A/R C
Assure the participation and commitment of project stakeholders. I A R C C
Assure the effective control of projects and project changes. C C C C C A/R C
Define and implement project assurance and review methods. I C I A/R C
Functions
ResponsibleAccountable
ConsultedInformed
Activ
ities
Express Line
22
5 Bewährte Verfahren werden ein-gesetzt und automatisiert
Veränderungen in denKontrollzielen
Wie auch in COBIT 3 gibt es unverän-dert vier Domains und 34 Prozesse.Da die Schwerpunkte teilweise neugesetzt wurden, haben sich inhalt-lich jedoch in den einzelnen Domainseinige Änderungen ergeben, die imFolgenden beschrieben werden.
Plan and Organise
PO4 „Define the IT Processes, Orga-nisation and Relationships“ wurdeerweitert und deckt nun die IT-Pro-zesse, die Organisation und die Be-ziehungen ab.PO5 „Manage the IT Investment“beinhaltet verstärkt Aspekte derWertschöpfung.PO8 „Ensure Compliance with exter-nal Requirements“ wurde gestrichen
und ist inhaltlich jetzt als ME4 in derDomain ME zu finden.Der COBIT 3 Prozess PO11 wurde neuzu PO8 „Manage Qualitiy“, somitgibt es nur noch 10 Prozesse in derDomain PO.
Acquire and Implement
AI4 heisst neu „Enable Operationand Use“ und wurde gegenüber COBIT3 erweitert.Ein neuer Prozess AI5 „Procure ITResources“ wurde eingefügt und dasalte AI5 wurde verschoben nach AI7und heisst neu „Install and AccreditSolutions and Changes“AI6 „Manage Changes“ wurde andie ITIL Prozesse angepasst.
Deliver and Support
DS8 wurde in „Manage Service Deskand Incidents“ umbenannt und DS10in „Manage Problems“; damit wur-
Abbildung 4: Key Goal Indicators
de die klare Trennung der Prozessein Anlehnung an ITIL erreicht.DS11 „Manage Data“ enthält nurnoch Kontrollen bezogen auf dasDatenmanagement, alle Applika-tionskontrollen wurden eliminiert.Diese finden sich jetzt in einem se-paraten Teil im Framework.
Monitor and Evaluate
Die vierte Domain wurde vollständigumgestaltet und heisst neu ME (Mo-nitor and Evaluate)ME1 „Manage IT Performance“ wur-de präzisiert durch „Monitor and Eva-luate IT Performance“ME2 „Monitor Internal Control“ wur-de ergänzt durch „Monitor and Eva-luate Internal Control“ME3 „Obtain Independent Assu-rance“ wurde ersetzt durch „OverseeIT Governance“ME4 „Provide for independent Au-dit“ wurde ersetzt durch „EnsureRegulatory Compliance“ und ent-
Express Line
23
spricht inhaltlich dem ehemaligenPO8.
Anhänge
Im Anhang I zu COBIT 4 finden sichdrei Verweistabellen, die den Zusam-menhang zwischen Geschäftszielen,IT-Zielen und den IT-Prozessen mitden zugehörigen Informationskrite-rien herstellen.
Die erste Tabelle verbindet 20 rele-vante Geschäftsziele, die in Form ei-ner Balanced Scorecard mit 28 IT-Zie-len und den zugehörigen Informa-tionskriterien aufgeführt sind.
In einer zweiten Tabelle wird dieVerbindung zwischen den 28 IT-Zie-len und den 34 COBIT 4 IT Prozessensowie den entsprechenden Informa-tionskriterien hergestellt.
Die dritte Tabelle enthält die umge-kehrte Darstellung wie Tabelle 2: Den34 COBIT 4 IT-Prozessen werden dieIT-Ziele zugeordnet.
Zur Orientierung über die detaillier-ten Änderungen in den Kontrollzielenund als Hilfe für die Umsteiger vonCOBIT 3 auf COBIT 4 sind ausserdemim Anhang V Verweistabellen vonden Kontrollzielen COBIT 3 zu COBIT 4und umgekehrt von COBIT 4 zu COBIT
3 aufgeführt. Darin enthalten ist auchdie Zuordnung der Kontrollziele ausCOBIT 3 zu den Prozesskontrollen undApplikationskontrollen.
Zusatzprodukte
COBIT 4 wurde Anfang Dezember2005 veröffentlicht. VerschiedeneZusatzprodukte, die zu COBIT 3 zurVerfügung stehen, sind noch nicht andie Version 4 angepasst, können abernoch ohne weiteres verwendet wer-den. Die Adaption dieser Produktean COBIT 4 ist vorgesehen und wirdvoraussichtlich schrittweise im Jahr2006 erfolgen.Dazu gehören
die Audit Guidelines, (werdenkomplett überarbeitet als „ITAssurance Guide using COBIT“ zurVerfügung stehen)
der Implementation Guide (neu„IT Governance ImplementationGuide“),
die COBIT Control Practices,COBIT Control Objectives for
Sarbanes OxleyCOBIT Security Baseline,COBIT Quickstart,COBIT Online.
Abbildung 5: Dokumente
COBIT 3 COBIT 4
Kontrollziele• High-Level• Detaillierte Kontrollziele
Management Guidelines• Prozess Input-Output• RACI Chart• Ziele und Messgrössen
Maturity Modelle• generisch• spezifisch
Audit Guidelines
Control Practices
Zusatzprodukte• Control Objectives for SOX• COBIT Security Baseline• IT Gov. Implementation Guide
COBITOnline
COBITQuickstart
Literaturhinweise
COBIT 4.0: The New Face of COBIT;Gary Hardy and Erik GuldentopsInformation Systems Control Journal,Vol. 6, 2005
COBIT’s Management GuidelinesRevisited: The KGIs/KPIs Cascade;Wim Van Grembergen and StevenDe HaesInformation Systems Control Journal,Vol. 6, 2005
COBIT 4.0 Control Objectives, Ma-nagement Guidelines, Maturity Mo-dels – ITGI 2005ISBN 1-933284-37-4
Götz F. Hoffmann, CISABitterli Consulting AG
The ISACA Crossword Puzzle
24
The ISACA Crossword Puzzle 3/06
Dieses Rätsel ist auf englisch und hatmit dem Schwerpunktthema dieserNummer zu tun. Autor ist der Redak-tor. Lösungen, Kommentare und Re-klamationen sind an ihn zu richten.
Across: 1 Wings from Nippon (abb);4 Prodi’s first name; 9 not suit; 16Metropolis in India; 17 main bodiesof trees; 19 biblical figure; 21 Mas-ter of Business Administration; 22 pull(Sp); 25 analysis of biologicalfingerprint; 26 Liliuokalani’s Aloha;27 trophy; 29 negation; 30 declinedpronoun; 31 winter garment; 34 thingto be learnt; 36 comfortable; 38 Ru-bidium;39 dramatic music perfor-mance; 41 confirm; 43 light brown;45 king (It); 46 bag; 47 JoanneWoodward had three faces as such;48 summer (Fr); 49 short mother; 50hurling weapon; 53 artful flying (shortword); 56 indication; 59 mainaddressee; 60 German preposition;61 Southern Swiss license plate; 62weight measurements; 64 conjunct-ion; 65 the singing Jürgens; 66 chipin; 68 innocent; 71 between Salt andMarie on Lake Superior; 72 Greekcharacter; 73 cascade; 75 astrolo-gical sign; 77 norm body (abb); 79transparent; 81 transmit; 82 qualityassurance verdict; 83 Barium; 84place; 86 information system; 87to be heard by fans in Spain; 88grabbed; 90 relating to the East; 93always; 96 Greek letter; 97 he (Ge);98 with (Ge); 99 they (Fr); 101 hour(It); 103 was once New Amsterdam;105 remnant (pl); 106 woollycovering of sheep (pl); 108 deepvoice or instrument; 110 Sp article;111 bar; 112 order; 114 gain belief;117 left direction; 118 where thewizard lives, also used for Australia;
119 Kriemhild’s mother; 120 autoplate from Herisau; 121 PalestinianLiberation Organization; 122 skies(Fr); 125 us (Ge); 126 relatively newcurrency; 129 textile trade mark; 130currency (pl); 132 comparativemeasurement; 133 ascertain; 134not old.
Down: 2 French clergyman; 3 Jacob’sfirst wife; 4 ancient Sicilian town; 5conjunction; 6 males; 7 German ace;8 operating system integration; 9size; 10 information managementrisk; 11 feared organization in WWII; 12 European Community; 13 twovowels; 14 Jap politician; 15 mainaddressee; 18 dominating suit incard games; 20 King Cole’s firstname; 21 engine; 22 preposition; 23drunk (Fr); 24 go (Sp); 27 watchdog
in Greek mystic; 28 short post script;29 no name; 32 European Union; 33construction material; 34 Frencharticle; 35 wave (Sp); 36 prickinginstrument; 37 control; 40 currency(pl); 42 valid evidence value; 43Greek goddess; 44 Egyptian god; 46experienced a grounding; 48 Frenchempty upside down; 51 short father;52 with an additional t at the enddevote; 54 business coxswain; 55supervise; 57 benchmark organi-zation; 58 norm organization; 59ground; 63 hard top car; 66 threeequal vowels; 67 aromatic beverage(Sp); 69 alternative level direction;70 inspirit; 72 ill supplied; 73 cardinalpoint; 74 CS iron; 76 find numericalexpression for; 78 recreationalassociation; 80 soft material; 83leguminous plant (pl); 85 wood; 89
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
16 17 18 19 20
21 22 23 24 25
26 27 28 29 30 31 32 33
34 35 36 37 38
39 40 41 42 43 44
45 46 47 48 49
50 51 52 53 54 55 56 57 58
59 60 61 62 63
64 65 66 67 68 69 70 71
72 73 74 75 76
77 78 79 80 81 82 83
84 85 86 87 88 89
90 91 92 93 94 95 96
97 98 99 100 101 102 103 104
105 106 107 108 109
110 111 112 113
114 115 116 117 118 119 120
121 122 123 124 125
126 127 128 129 130 131
132 133 134
The ISACA Crossword Puzzle
25
the beginning and the end of everyknight; 91 ice (Ge); 92 trouble; 94much (Ge); 95 „Out of Rosenheim“;96 yes (Ru); 97 it (Ge); 100 canal;102 former Ethiopian noble;104 pos-sessive pronoun; 106 French cop;107fermented drink; 108 combat; 109Southeast; 110 short for Edward; 112short end zone; 113 French pronoun;114 monkey; 115 kernel; 116 extraterrestrial; 118 bovine animal; 120shallow bay; 122 automobile; 123troubled French yes; 124 pronoun;125 vase; 127 preposition; 128 Swissauto plate; 129 short laughter; 130data service; 131 lost right.
Die Lösung liegt in den markiertenFeldern. Dieses Wort ist auf einerPostkarte zu senden an M.F.Bretscher, Oberrenggstrasse 8, 8135Langnau a/A. Lösungen werden auchentgegengenommen unter der [email protected]. Einsende-schluss ist der 12. Januar 2006.
Lösung Crossword Puzzle 2/06:SCHIEBER
Waagrecht: 1 Erpressungen; 11 Ganges;
16 (Kaul)Quappe; 17 Graben; 19 ile; 20 UEZ;
21 Iraki; 24 Ader; 25 bel; 26 EK; 27 Ra; 28
EC; 29 wer; 31 Betrueger; 35 JL; 36 rio; 37
Me; 38 une; 39 RG; 40 jede; 42 Pan; 43 nur;
44 ir; 45 Assai; 47 Gaudi; 48 SU; 49 Hag; 51
Ola; 52 Leda; 54 Bo; 56 SG; 57 in; 58 Lt; 60
Boesewicht; 64 Aiai (Ia-Ia); 66 faelschen;
68 cher; 69 Mobilitaet; 71 NN; 72 ah; 73 re;
74 OK; 75 real; 77 Sau; 79 Tau; 80 la; 82
Yetis; 84 Hauer; 86 Aa; 87 und; 88 sie; 89
Flut; 90 EV; 92 (Big) Ben; 94 NE; 95 Rev; 96
ge; 97 Besserung; 100 Ken; 101 SR; 102
te; 103 rr; 104 Lie; 105 Keil; 107 netto; 110
Sen; 112 Mae; 113 Sommer; 115 Ankern;
117 Palast; 118 Manipulation.
Senkrecht: 1 Equ; 2 ruegen; 3 paz; 4 Rp; 5
Epikur; 6 ser; 7 Ulk; 8 gg; 9 era; 10 Nadel;
11 Ger; 12 an; 13 Gier; 14 ell; 15 SE; 18
bec; 22 arg; 23 irreal; 25 Beo; 26 er; 29
window (dressing); 30 Veruntreuung; 31
Buchsammlung; 32 Teig; 33 egal; 34 Eis; 35
je; 36 rauben; 37 Mus; 41 Diebstahl; 42
Pa; 46 Salat; 47 Gaehn; 50 Agio; 51 on; 53
Doc; 55 sch; 57 III; 59 tears; 62 ich; 63 Hera;
65 Abt; 66 fiktiv; 67 Lee; 70 loesen; 72 Au;
76 Lauben; 78 Ares; 79 Tabu; 81 âne; 83 ie;
85 Ute; 89 Fe; 91 Verona; 93 entero; 95
Ree; 96 Grimm; 98 Set; 99 RR; 100 Kiel; 101
Sem; 104 Laa; 105 Kot; 106 Lea; 108 ERP;
109 Tal; 110 sei; 111 nnn; 112 MP; 113 ss;
114 RN; 116 K(en)t).
Nouveau et en exclusivité
pour la Suisse romande
Audit des systèmes d’information
Préparation à la certification internationale CISA
> Excellent équilibre entre théorie et pratique <
23 soirées et 5 jours, dès le 29 août 2006
Pour plus d’informations : www.iseig.ch ISEIG, av. des Boveresses 52, 1010 Lausanne Tél : 021 654 40 60 – E-mail : [email protected]
Nouveau et en exclusivité pour la Suisse romande,
animation par des pros de l’audit selon le modèle qui fait ses preuves depuis 13 ans à Zurich
Audit des systèmes d’information
Préparation à la certification internationale CISA > formation complète : 18 soirées et 5 jours du 29 août au 25 novembre <
> Option « light » : 5 jours du 28 octobre au 25 novembre 2006 < Pour plus d’informations : www.iseig.ch ISEIG, av. des Boveresses 52, 1010 Lausanne Tél : 021 654 40 60 – E-mail : [email protected]
Watson: All letters of the alphabetappear at least once in the solutionof the puzzle.
Der Gewinner ist Claus Reck, Ham-burg. Er gewinnt damit $US 50 inGutscheinen zum ISACA bookstore.Herzliche Gratulation! Der Watsonwurde nicht entdeckt: Alle Buchsta-ben des Alphabets im Rätsel enthal-ten. Somit sind weiterhin $US 100im Jackpot.
Express Line
26
Express Line
A Word from the Chair
Greetings!
ISACA’s annual midyear duesincentive is now in place. Any newmembers joining between 1 June and6 August will be charged only 50percent of the international associa-tion dues, plus the new memberprocessing fee and chapter dues, formembership through 31 December2006. Keep in mind that the newmember processing fee is reducedfrom US $30 to US $10 when newmembers join online atwww.isaca.org.
Steve ThorstedChair, Membership Board
Fraudulent Web Site Alert
A web site (www.cisaca.org)originating in China and owned bythe CISA Chinese Alliance is claimingto be authorized by ISACA to registercandidates for the CISA exam andcollect exam fees through its site.This same site also claims to sell aChinese version of the CISA ReviewManual and the CISA Review Quest-ions, Answers & Explanations Manu-al.
Please be advised that neither thisweb site nor its owner is affiliated inany way with or endorsed by ISACA.Nor has the web site or its ownerbeen authorized as a registrar for theCISA exam or as a distributor of anyCISA study materials. Please informyour members of this fraudulentoperation. Please inform potential
candidates that registration for theCISA or CISM exam can be doneonly through the ISACA web site.
International Headquarters has con-tacted this organization to advise itto cease and desist these infringe-ments of ISACA intellectual propertyand fraudulent activities. If you areaware of any individuals who havebeen adversely impacted by this website, please notify International Head-quarters’ certification departmentimmediately([email protected]).
December 2006 ExamRegistration and BOI
Registration for the 9 December2006 CISA and CISM exams will openin July. More details will be providedas they become available. TheEnglish versions of the CISA andCISM bulletins of information for theDecember exam were mailed to thechapter CISA and CISM coordinatorsin May.
CISA and CISM ExamRecruitment and Training
We would like to thank you for yourcontinued support in promoting theexams and offering CISA or CISMreview courses for June examcandidates. The success of ISACA’sprograms can be attributed in largepart to exceptional efforts fromchapters.
Assistance Sought inIdentifying IP Violations
ISACA International Headquarters isseeking the assistance of chapters tohelp identify potential violations ofintellectual property. Please notifyJoann Skiba, director of intellectualproperty, at [email protected], if youbecome aware of web sites that arepotentially misusing ISACA/ITGItrademarks and copyrightedmaterials.
DACH-News
27
DACH-News
Rückblick und Ausblick derIIR IT-Tagung 2006
Im Zeichen aktuellerEntwicklungen, Methoden,Techniken und Werkzeuge
Rückblick
Rund 120 Teilnehmende (darunter ca.50% ISACA-Mitglieder) trafen sicham 22. und 23. Mai 2006 im ArabellaSheraton Congress Hotel in Frankfurtam Main. Aus der Sicht des Gast-referenten und Teilnehmers BrunoWiederkehr, ISACA SwitzerlandChapter, kann ich auf den gut koor-dinierten Event (IIR e.V. und ISACA)und die beiden erfolgreichen Tagezurückblicken. Damit verbunden warauch die Kontaktnahme zwischenden beiden ISACA Chaptern(Deutschland – Schweiz), welche ichfür die zukünftige Zusammenarbeitals sehr wertvoll betrachte.
Sehr positiv empfand ich auch diewährend der Tagung geplanten Dis-kussionsforen sowie den Gedanken-und Erfahrungsaustausch beim„Standing“-Nachtessen. Die grossenrunden Tische erlaubten viel leichter,interessanten Diskussionen zu folgenund auch einmal den Platz zwischenden einzelnen Gängen sowie denTischen zu wechseln. Wie von HerrnDr. Peter Sporrer, Leiter der IIR-Aka-demie, zu erfahren war, hat bereitsdie Organisation für die nächste Ta-gung vom 04.–05. Juni 2007 in Frank-furt begonnen.
Das Rednerpult war denn auch mitprominenten Professoren, Visionären,Methodikern und Praktikern (Univer-
sität Freiburg, Universität Bremen,E&Y, KPMG, BSI, Deutsche Post AGetc.) besetzt. Nahe am Hörerinter-esse wurden u.a. die folgenden High-lights thematisiert:
COBIT 4 – ein neuer MeilensteinImplementierung ISO 27001 &
Vorgehensweise BSI Standard 100-2Zertifizierung ISO 20000 – ITIL
Norm im IT Service ManagementJoint Audits – Zusammenspiel IT-
und Fach-RevisionRisikoorientierte Audit-Planung
und -Durchführung
Zusammenfassung des Referates
Nebst dem Fokus „Risikoorientie-rung“ (Risk Management) darf beider Audit-Vorbereitung, -Planung und-Durchführung die übrigen Domänender IT-Governance durch den IT-Revi-sor nicht aus den Augen gelassenwerden.
Wie auch aus dem IT GovernanceStatus Report 2006 hervorgeht, steht
die Security nicht an erster Stelle. Vonden Befragten wurde das IT Staffing(Resource Management), also dieStellenbesetzung, als grösstes undwichtigstes IT Problem betrachtet.87% der Befragten haben angege-ben, dass die Erfüllung der Unter-nehmensstrategie durch die IT (Stra-tegic Alignment) immer schwierigerwerde. Beide Schwerpunkte betref-fen wiederum die Leistungserbrin-gung (Performance Management)und die Wertschöpfung (Value Deli-very). Fazit: Bei einem Audit müssenalle fünf IT Governance Domänen indie Betrachtungen einbezogen wer-den.
Im Verlauf des Referates habe ich aufden Schlüssel des Erfolges, nämlichauf die Systematik hingewiesen. Esgeht darum, Audit-Strategien, -Mit-tel und -Verfahren zu entwickeln, umstrukturierte und unstrukturierte Infor-mationen (u.a. Vorschriften, Stan-dards und Prozeduren) zu handlungs-relevantem Auditwissen zu verknüp-fen.
Weltweite Erfahrungen haben ge-zeigt, dass die von ISACA zur Verfü-gung gestellten IS Auditing Stan-dards, Guidelines und Procedures inVerbindung mit COBIT „All in One,One for All“ sehr hilfreich sind. COBIT-
26.06.2006 © Bruno Wiederkehr Seite 1
IT-Tagung 2006
Teil 1: Voraussetzungen und VorbereitungTeil 2: Audit-Planung und -DurchführungTeil 3: Audit-Standards und -WerkzeugeTeil 4: Result-Monitoring und -Messung
Risikoorientierte Audit-Planung & Audit-Durchführung / Result-Monitoring
Fokus
DACH-News
28
basierte Werkzeuge zur Unterstüt-zung der Audit-Systematik gibt esnebst ISACA bei einigen Beratungs-Unternehmen und Revisionsgesell-schaften. Versuchen Sie begeistertdamit die Vorgehensweise zu opti-mieren, Begeisterung soll ansteckendsein: Sie werden damit sicher Erfolghaben.
Schlusspunkt
Während der Tagung wurden ver-mehrt die Rolle des Revisors und diedamit verbundenen Innovations-fragen diskutiert. Welche Vorausset-zungen müssen gegeben sein? Wokönnen professionelle und systema-tische Innovationen der Revision ei-nen Lösungsbeitrag für das Unterneh-men leisten? Wann und wie sind einRevisor und sein Manager innovativ?
Als Einstieg kann die aktuelle Diskus-sion über Sarbanes Oxley, Basel II undSolvency dienen. Die Chancen ste-hen gut, gemeinsame mit dem Ma-nagement grundsätzliche Aussagenaufgrund anerkannter Rahmenwerke(COSO, COBIT 4) in Kombination mitneuen „Good Practice“ Standards(u.a. Informationssicherheit ISO27001, ITIL-Zertifizierung ISO 20000,IS Auditing Standards, Guidelines &Procedures) zu erarbeiten.
Es muss der Revision gelingen, sichden grossen Aufgaben im Audit Uni-verse zu stellen und sich Ziele imHinblick auf die Effizienz und Effek-tivität der Audit- und Control-Perfor-mance zu setzen.
Jeder muss über das eigene Poten-zial im Klaren sein, um gemeinsamChancen zu realisieren. Dazu brauchtes den Willen und das Bewusstsein,innovativ zu agieren und zugleich dievorhandenen Revisionsmethoden und-werkzeuge professionell und ange-messen einzusetzen.
Das visionäre und mit viel Schalkvorgetragene Referat von Prof. Dr.Günther Müller, Universität Freiburg,war der krönende Abschluss der IT-Tagung 2006.
Angaben zu Standards erhalten Sieunter www.iir-ev.de , www.isaca.de,www.isaca.org (engl.) COBIT Elementewww.isaca.ch (deut./engl.) und COBITWerkzeugewww.isaca.org/bookstore.
Bruno Wiederkehr
AHS vom 25. April 2006
PD Klaus Peter Rippe referierte zumThema „Mit der Brille der Ethik – Um-gang mit ethischen Konflikten“. DerReferent unterhielt die gegen 50 Teil-nehmer in lockerem Stil über dieBegriffe von Moral und Ethik. Sie sindseit den Skandalen von Enron, World-com und Co. aktuell wie kaum jezuvor. Peinlich ist dabei, dass Präsi-denten der USA bei diesen Gelegen-heiten in den Fettnapf traten.
Dabei ist jeweils zu unterscheiden,ob blosse Dummheit vorliegt, oderob Manipulationen im Spiel sind.Delikat ist bei letzteren, ob sie ethischverwerflich sind oder nicht. Ebenfallssind kulturelle Unterschiede bei Mo-
ral und Ethik nicht unbedeutend.Wichtig ist, dass alle Teilnehmer am„Spiel“ die „Spielreglen“ kennenund akzeptiert haben. Ein „Über-den-Tisch-ziehen“ ist immer dann ver-werflich, wenn der Geschädigte dieRegeln nicht kannte.
Die grosse Mehrheit der Teilnehmerwar sich zu Beginn zwar einig, dassdie Begriffe Zuverlässigkeit, Offen-heit, Vertrauenswürdigkeit und Ehr-lichkeit als Basis der Ethik eine Selbst-verständlichkeit sein sollten. DieStandards der ISACA besagen ja ge-nau dies. Die Darlegungen des Refe-renten stimmten alle jedoch nach-denklich, als offenbar wurde, dass diegenannten Begriffe aber in Konflikt-situationen geraten können. WelcherBegriff hat wann Vorrang?
In der rege benützten Diskussion wur-den Stimmen laut, die aussagten,dass der IT-Revisor immer unverblümtdie Wahrheit sagen sollte. KritischeBeobachter führten dagegen ins Feld,dass die Wahrheit nicht immer son-nenklar ist (Unsicherheit) und dassbittere Pillen für den „Schluckenden“positiv darzustellen wären. Für Rip-pe bleibt aber auch eine bittere Pillemit Zuckerguss immer noch bitter.Auf die provokative Frage, ob eineunangenehme Tatsache verschwie-gen werden dürfe, wenn dabei ei-gene Interessen einschneidend ge-fährdet werden könnten, war die im
DACH-News
29
Brustton der Überzeugung geäusserteMeinung, dass dies nicht verschwie-gen werden dürfe. Ein Blick in dieteilweise verlegenen Gesichter ver-riet hingegen, dass die Frage nichtleicht zu beantworten ist.
Ein Teilnehmer brachte beim an-schliessenden Apéro die Sache wohlauf den Punkt, als er meinte, wich-tig sei für ihn, dass er auch nach ei-ner ethisch heiklen Diskussion gutschlafen könne.
AHS vom 30. Mai 2006: ITRisk Management.
Mario Walter der Firma Roche Diag-nostics stellte den etwa 50 interes-sierten Teilnehmern die Elemente derVorgehensweise bei seiner Firma vor.Als spezielle „goodies“ behandelteer auch die OSI-Levels 8 bis 10. DasNiveau 8 (eigentlich „people“) tauf-te er treffend in „Politik“ um. Damitsprach er natürlich die Firmenpolitikan, welche das Verhalten der mit denApplikationen (Level 7 des OSI-Mo-dells) beschäftigten Leute bestimmt.Dass man sich mit dem Level 9 (Fi-nanzen) schwer tun kann, illustrierteer mit dem Vergleich, was der mo-netäre Wert von beispielsweise CHF5000 in diversen Ländern der Weltbedeuten kann. In Indien vielleichtein Jahreslohn, in den USA „pea-nuts“. Auch der Level 10 (Gesetzeund Regulatorien) kann in einigenLändern zwar unproblematisch sein,in andern dagegen mit erheblichenRisiken verbunden sein: Wenn einLand die Untreue eines Angestelltennicht unter Strafe stellt, können beiOutsourcing in dieses Land Fabrik-geheimnisse und anderes geistigesEigentum (Source Code!) „problem-los“ verraten werden. Mario Waltererwähnte zwar, dass diese Elemen-te bei Roche Berücksichtigung fin-den, doch Details der Messelementeund -grössen konnte er in der kur-zen Zeit nicht vorstellen. Ebenso blieb
die Frage im Raum stehen, wie oftbisher aufgrund der operationellenMessungen Risikopunkte in der Risi-komatrix (er nannte sie IT Risk Lands-cape) eliminiert, neu definiert oderverschoben werden mussten. AmSchluss gab er aus seiner Erfahrungjedoch wertvolle Hinweise an die RiskManager und Revisoren, wie sie ihreAnliegen erfolgreich „verkaufen“,ohne „erschossen“ zu werden.
AHS vom 27. Juni 2006
Im AHS vom 27. Juni 2006 präsen-tierte Walter Sprenger der FirmaCompass Security ein Frühwarnsys-tem für Phishing. Dabei erläuterte erdie theoretischen Grundlagen, diesich an ein Frühwarnsystem einerTsunamiwarnung anlehnen. Aller-dings musste er zugestehen, dassechte Feldtests und deren Ergebnis-se noch nicht vorliegen, weil offen-bar das Interesse bei den möglichenBetroffenen (insbesondere Banken)nicht im notwendigen Umfang vor-handen ist. Dennoch demonstrierteer, wie das System funktionierenkönnte. Zentral sind dabei erstens diezur Auswahl möglicher Phishing-attacken zu definierenden Regeln,andererseits die Menge der zu unter-suchenden e-Mails. Die Diskussionenim Anschluss an den Vortrag zeigten,dass ein sehr grosses Interesse amThema der Abwehr von Phishing ansich besteht. Wie man mit den Atta-cken umgeht und darüber, ob eineallfällige Publizität bezüglich Atta-cken positive oder negative Image-effekte für die angegriffenen Institu-te haben könnte, gingen die Meinun-gen stark auseinander.
News aus denInteressengruppen
IG Operational IT-Risk
Peter R. BitterliBitterli Consulting AGStampfenbachstr. 408006 ZürichTel. + 41 44 444 11 01Fax. +41 44 444 11 [email protected]
Die Interessensgruppe „Operational(IT) Risk“ hat sich neu formiert undentwickelt ein Konzept resp. Vor-gehensvorschlag für ein „Risiko Ma-nagement Kochbuch“. Ziel ist, Ge-schäftsleitungsmitgliedern, Führungs-verantwortlichen im Business und derIT, Risikomanagement-Spezialistenund anderen Personen Schritt fürSchritt aufzuzeigen, wie man für einmittleres Unternehmen (eventuellauch für ein grosses Unternehmen mitwenig eigenen Informatiktätigkeiten)ein Risikomanagement aufbauen underfolgreich beibehalten kann.
Derzeit werden keine neuen Mitglie-der aufgenommen. Wenn die Ergeb-nisse vorliegen, wird die Interessen-gruppe darüber informieren.
IG Government IT-Audit („Closeduser group“)
Michel Huissoud, CISA, CIAEidg. Finanzkontrolle/Contrôle fédéral des financesMonbijoustr. 453003 BernTel. +41 31 323 10 35Fax. +41 31 323 11 [email protected]
Le groupe de travail qui rassembleles auditeurs informatiques descollectivités publiques a élaboré desrecommandations à l’égard des re-sponsables de projet informatique.Ce document d’une douzaine de
DACH-News
30
pages est disponible en allemand,français et italien.
Les responsables de projet sont eneffet soumis à de nombreuses con-traintes et doivent conduire leursprojets au succès dans des conditionsparfois difficiles. L’intervention d’unauditeur constitue un défi supplé-mentaire souvent perçu comme uneinutile chicane par les responsables.Les Contrôles des finances estimentimportant de communiquer demanière ouverte et conséquenteavec les responsables de projet. Cettebrochure est là pour répondre à desquestions qui sont fréquemmentposées aux auditeurs. Elle contientégalement des informations intéres-santes pour les décideurs, les respon-sables informatiques ou les personneschargées de l’assurance-qualité.
L’objectif est notamment de déter-miner la liste des documents les plusimportants pour un auditeur et dedéfinir les questions auxquelles ilsdoivent répondre. Cette brochure quifait une large référence à CobiT seconcentre sur la phase de projet quiconstitue un passage important dela vie d’une application. Il existe enSuisse différentes méthodes dedéveloppement (y compris celles quisont proposées par certains four-nisseurs) et la terminologie peut varierde l’une à l’autre. Cette brochure seconcentre sur le contenu des docu-ments et fournit les références à cesdifférentes méthodes.
Ce document peut être téléchargégratuitement aux adresses suivantes:Deutsch : http://www.efk.admin.ch/pdf/novena_d.pdfFrançais : http://www.efk.admin.ch/pdf/novena_f.pdfItalien : http://www.efk.admin.ch/pdf/novena_i.pdf
Les membres de l’IG espèrent avoirgrâce à cette brochure renforcé ledialogue entre les auditeurs et les re-
sponsables IT et contribué ainsi à undéveloppement harmonieux et ren-table des projets informatiques dansles administrations publiques suisses.
IG Computer Forensics
Paul WangPricewaterhouseCoopersAvenue Giuseppe-Motta 501211 Geneva 2Tel. +41 22 748 56 01Fax. +41 22 748 53 54Mobile: +41 79 220 54 [email protected]
L’objectif de ce groupe de discussionlié aux « Computer Forensics », estde fournir un forum d’intérêt etd’information sur les méthodologieset les outils de ce qu’on appellecommunément en français «Assistance informatico-légale ». Ceforum offre la possibilité de partagerdes idées, des technologies, des outilset certainement aussi des notions juri-diques de ce domaine en constanteévolution. Ce groupe de discussionabordera également des discussionstechniques et procédurales sur lesprérequis en matière de recherchede preuves informatiques. Même siles participants doivent être familiersavec la recherche, l’acquisition etl’analyse de preuves informatiques,tous les intéressés de tout niveau deconnaissance sont les bienvenus.
IG Einführung vonIT-Governance
Cayan OezguerolKügeliloostrasse 448050 ZürichMobile +41 79 401 01 81Tel. +31 44 312 15 83Fax. +41 86 079 401 01 81
Nächste Sitzung: Juli/August 2006.Traktanden:
Standortbestimmung der IGErweiterung der Aufgaben (COBIT
4.0, Schnittstelle zur CorporateGovernance, Leitfaden)
Abnahme Domäne „Auslieferungund Unterstützung“
Besprechung Entwurf zur Domä-ne „Planung and Organizsation“
IG Romandie
Vacant : touts personnes intéresséesà participer ou animer un groupe detravail ou tous ceux qui aimeraientproposer un thème de réflexionpeuvent s’annoncer auprès de M.Paul [email protected]
IG Outsourcing/Insourcing
Ulrich EnglerSwiss LifeCF/REV HG 3151General-Guisan-Quai 40Postfach, 8022 ZürichTelefon +41 43 284 77 58Telefax +41 43 284 47 [email protected]
Derzeit ruhend. Der Leiter sucht ei-nen Nachfolger.
IG MIS/EIS/DWH
Leitung:Daniel OserErnst & Young AGBadenerstrasse 47Postfach 52728022 ZürichTel. +41 58 286 34 39Fax. +41 58 286 32 [email protected]
DACH-News
31
Nach einer längeren Pause hat dieIG ihre Arbeit wieder aufgenommen.
Wrap-Up/StandortbestimmungEs wurden alle bisher erstellten Do-kumente aufgelistet und sofern sienoch finalisiert werden müssen, ei-nem Verantwortlichen zur Bearbei-tung zugeteilt.
Weiteres VorgehenDas Referenzmodell und die Risiko-Matrix sollen als Resultat der Phase I(Datenextrakt und Load) nochmalsüberarbeitet und bereinigt werden.Danach sollen sie auf der Websiteder ISACA öffentlich zugänglich ge-macht werden. Die diversen Fact-Sheets werden zum Teil nochmalsüberarbeitet zum Teil neu erstellt undgelten als Resultat der Phase II (Pro-jektvorgehen und weitere relevanteAspekte).
Wahl des neuen IG LeitersNach einer kurzen Besprechung istder bisherige IG Leiter bestätigt wor-den. Es findet somit kein Wechselstatt.
DiversesDie Resultate sollen im Rahmen ei-ner ISACA-Abendveranstaltung prä-sentiert werden.
Neue Interessenten können sich beiDaniel Oser, IG-Leiter, anmelden.
IG SAP R/3
Jörg AltmeierWikima4 AGBahnhofstrasse 286304 ZugTel. +41 41 711 94 54Fax. +41 41 711 94 [email protected]
Letzte Sitzung: 08. Mai 2006, ITACSTraining AG, Zürich
1. Begrüssung2. Sicherheitsstrategie SAP am Bei-spiel des Kompetenzzentrums derBundesverwaltung was ist zu machen(und zu prüfen!) (Hr. Walter Bremer,
Leiter Applikationsbetrieb CCSAPBV)3. Tipps und Tricks zur Prüfung imSAP FI (Hr. Roland Giger, Revisions-experte EFK)4. Erfahrungen und News (alle)5. Diverses
Nächste Sitzung: 27. November 2006bei ITACS Training AG, Zürich
Monika E. Galli Mead hat die IG seitihrer Gründung mit grossem Engage-ment geleitet und immer wieder sehrinteressante IG Sitzungen organisiert.Nun tritt Sie in den Ruhestand undübergibt die IG-Leitung an Jörg Alt-meier, Geschäftsführer der Wikima4AG und fachlicher Leiter der Arbeits-gruppe „Sicherheit in SAP-Systemen“der Information Security Society ofSwitzerland (fgsec).
Monika, wir danken Dir und hoffen,Dich weiterhin an unseren Sitzungenbegrüssen zu dürfen und wünschenDir alle Gute.
Mit Jörg Altmeier ergeben sich sicher-lich interessante Verbindungen zurfgsec.
IG (Self) Assessement mitCOBIT 4.0
Luc PelfiniBitterli Consulting AGStampfenbachstrasse 40CH-8006 ZürichTel: +41 44 444 11 [email protected]
Die Hälfte der Interessenten hat sichan einer ersten Sitzung am 29.5. inZürich getroffen. Die restlichen Inte-ressenten, die erst kurz vor der ers-ten Sitzung auf die IG aufmerksamwurden, werden an der zweitenArbeitssitzung am 10. Juli dazu stos-sen. Weitere Interessenten könnensich bei Luc Pelfini anmelden.
Die unterschiedlichen Arbeitgeber(Kanton, Consulting-Firma, interna-tionaler Konzern, Telekom, etc.) dermomentan sieben potentiellen IG-Mitglieder verspricht interessante Dis-kussionen und Arbeitsergebnisse.Möglicherweise kann auch ein Aus-tausch von Arbeitsergebnissen miteiner COBIT Assessment Arbeits-gruppe in Deutschland weitere Hori-zonte eröffnen.
An der nächsten IG-Sitzung gilt es inmöglichst vollständiger Zusammen-setzung der IG vor Allem die folgen-den drei Punkte zu klären:1. Genaue Definition wie das SelfAssessment gestaltet werden soll,insbesondere betreffend Hilfestellungfür die Einteilung in einen MaturityLevel sowie der pro Level mindestensverlangten Kontrollen.2. Welche Kontrollziele werden alserstes angegangen, um eine Unter-stützung zum (Self) Assessment zuerarbeiten?3. Für welchen Personenkreis werdendie vollständigen Arbeitsergebnisseoder Auszüge davon veröffentlicht?Diese Frage ist insbesondere zu klä-ren, wenn die IG eine elektronischeUnterstützung für das Assessmententwickelt (Beispielsweise mit Excel).
Nächste Sitzung: Die nächste IG-Sit-zung findet am 10. Juli ab 16.00 inZürich bei Bitterli Consulting statt.
Veranstaltungen
32
Veranstaltungen
CISA Vertiefungskurs 2006|2 14. Aug. 2006–27. Nov. 2006Zürich, 14 Tage, ISACA/ITACS
CISM Vertiefungskurs 2006|2 21. Aug. 2006–28. Nov. 2006Zürich, 12 Tage, ISACA/ITACS
Evidence Lab – Workshop über die Spurensuche in Computersystemen 23.–25. August 2006Zürich, 3 Tage, ISACA/Compass
IT Security Forum 24. August 2006Zürich, 1 Tag, Utimaco
After Hour Seminar: Mit Facetten des Business Continuity Management 29. August 200616:40–17:40, Zürich, ISACA
Anwendungssicherheit: Risikoorientierte Entwicklungsmethoden 30. August–1. September 2006Zürich, 3 Tage, ISACA/ITACS
Intensivlehrgang für SIBE 4.–8. September 2006Zürich, 5 Tage, Infosec
Application Security Lab – Workshop zum Thema Sicherheit 6.–8. September 2006von Web-Anwendungen Zürich, 3 Tage, ISACA/Compass
Security over IP – Sicherheitstechnik der Zukunft 7. September 2006Zürich, 1 Tag, SES
Einführungskurs in Systemhandling für SAP R/3 Workshop 12. September 2006Stuttgart, 1 Tage, ISACA
SAP R/3 Workshop für Wirtschafts- und Informatikprüfer 13.–15. September 2006Stuttgart, 3 Tage, ISACA
Content- und Mobile-Security Lab – Kritische Betrachtung moderner 27.–29. September 2006Perimeterschutzmechanismen und deren Gefährdung durch Zürich, 3 Tage, ISACA/Compassmobile Tech. und aktuelle Malware
ITIL Foundation Training – Service Management 27.–29. September 2006Auf der Basis des de facto-Standards ITIL mit Links zur Zürich, 3 Tage, ISACA/GlenfisBS 15000 und ISO 20000 Zertifizierung
Cryptography, Fundamentals and Applications 16.–19. Oktober 2006Engelberg, 4 Tage, ATS
CISA Prüfungsvorbereitungskurs 2006|2 23. Okt. 2006–27. Nov. 2006Zürich, 5 Tage, ISACA/ITACS
CISM Prüfungsvorbereitungskurs 2006|2 26. Okt. 2006–28. Nov. 2006Zürich, 4 Tage, ISACA/ITACS
Forensic Lab 7.–9. November 2006Karlsruhe, 3 Tage, Secorvo
ISO 20000 Consultant & Internal Auditor, inkl. int. Zertifizierung 20.–22. November 2006Zürich, 3 Tage, ISACA/Glenfis
Veranstaltungen
33
KontaktadressenVeranstalter
Der NewsLetter empfiehlt folgendeVeranstalter (weitere Kurse und Unter-lagen direkt anfordern):
AFAITel. +33 1 55 62 12 [email protected]
advanced technology seminarsGrundgasse 13CH-9500 WilTel. +41 71 911 99 15Fax. +41 71 911 99 [email protected]
Stiftung für Datenschutz undInformationssicherheitDr. Beat RudinKirschgartenstrasse 7PostfachCH-4010 BaselTel. +41 61 270 17 70Fax +41 61 270 17 [email protected]
Euroform Deutschland GmbHHans-Günther-Sohl-Strasse 7D-40235 DüsseldorfTel. +49 211 96 86 300Fax. +49 211 96 86 [email protected]
IIR-AkademieOhmstr. 59D-60468 Frankfurt/MainTel. +49 69 7137 69-0Fax. +49 69 7137 [email protected]
InfoGuard AGFeldstrasse 1CH-6300 ZugTel. +41 41 749 19 00Fax +41 41 749 19 10www.infosec.com
Integralis GmbHGutenbergstr. 1D-85737 IsmaningTel. +49 89 94573 447Fax +49 89 94573 199 [email protected]
ISACA Switzerland Chapterc/o ITACS Training AGStampfenbachstrasse 40CH-8006 ZürichTel. + 41 44 444 11 01Fax +41 44 444 11 [email protected]
ISACA USA3701 Algonquin Rd #1010USA_Rolling Meadows IL 60008Tel. +1 847 253 15 45Fax. +1 847 253 14 43www.isaca.org
ITACS Training AGStampfenbachstrasse 40CH-8006 ZürichTel. +41 44 444 11 01Fax +41 44 444 11 [email protected]
Management CircleHauptstrasse 129D-65760 Eschborn/Ts.Tel. +49 6196 [email protected]
MIS Training InstituteNestor HousePlayhouse Yard P.O. Box 21GB-London EC4V 5EXTel. +44 171 779 8944Fax. +44 171 779 8293www.misti.com
MediaSec AGTägernstrasse 18127 Forch/ZürichTel. +41 1 360 70 70Fax. +41 1 360 77 [email protected]
Secorvo Security Consulting GmbHSecorvo CollegeAlbert-Nestler-Strasse 9D-76131 KarlsruheTel. +49 721 6105-500Fax +49 721 [email protected]
Serview GmbHThe Business IT Alignment CompanyGartenstrasse 23D-61352 Bad HomburgTel. +49 6172 177 44-0
Swiss Infosec AGWeissensteinstrasse 2bCH-3008 BernTel. +41 31 300 73 73Fax +41 31 300 73 [email protected]
Treuhand-KammerJungholzstrasse 43PostfachCH-8050 ZürichTel. +41 1 305 38 60Fax. + 41 1 305 38 61
Vereon AGRosgartenstrasse 37CH-8280 KreuzlingenTel. +41 71 670 19 14Fax. +41 71 670 19 [email protected]
ZfU Zentrum fürUnternehmensführung AGIm Park 4CH-8800 ThalwilTel. +41 1 720 88 88Fax. +41 720 08 [email protected]
Vereinsadressen
34
Vereinsadressen
Germany Chapter
GeschäftsstelleISACA e.V., German ChapterEichenstr. 7D-46535 DinslakenTel. +49 2064 [email protected]
PräsidentinKarin ThelemannTel. +49 6196 99626 [email protected]
KonferenzenMarkus GaulkeTel. +49 69 9587 [email protected]
Mitgliederverwaltung undKassenwartNorbert GröningTel. +49 201 438 [email protected]
Public RelationsHeinrich GeisTel. +49 692 101 [email protected]
Arbeitskreise und FacharbeitBernd WojtynaTel. +49 251 288 4253 oder +49 251 210 [email protected]
PublikationenIngo StruckmeyerTel. +49 4106 704 [email protected]
CISA-KoordinatorHolger KlindtworthTel. +49 (40)[email protected]
www.isaca.de
Austria Chapter
Vorsitzender (Präsident)Ing. Mag. Dr. Michael SchirmbrandTel: +43 1 31332 [email protected]
Stellvertretender Vorsitzender I(Vizepräsident I)Dipl.-Ing. Maria-Theresia Stadler,Tel: +43 1 53127 [email protected]
Stellvertretender Vorsitzender II(Vizepräsident II)Mag. Josef RennerPricewaterhouseCoopersTel: +43 1 501 88 [email protected]
Schriftführer,Mitgliederversammlung, MarketingMag. Gunther W. ReimoserTel: +43 1 12 111 701 [email protected]
Kassier, WebmasterMag. Jimmy HeschlTel: +43 1 31332 [email protected]
CISA/CISM-KoordinatorMag. Ulrike Knödlstorfer-RossTel: +43 1 33151 [email protected]
NewsLetter-KoordinationMag. Dieter Stangl-KriegerTel: +43 1 31332 [email protected]
E-Mail ISACA Austria Chapter:[email protected]
www.isaca.at
Switzerland Chapter
PräsidentinDaniela S. GschwendTel. +41 43 285 69 [email protected]
VizepräsidentMichel Huissoud, CISA, CIATel. +41 31 323 10 [email protected]
KassierPierre A. Ecoeur, CISATel. +41 71 626 64 [email protected]
Ausbildung/KurssekretariatPeter R. Bitterli, CISATel. +41 44 444 11 [email protected]
CISA/CISM-KoordinatorThomas BucherTel. +41 44 421 64 [email protected]
Sekretärc/o Präsidentin
Information & KommunikationMonika JosiTel. +41 61 324 09 [email protected] bitte hier melden.
Koordinator InteressengruppenRolf MerzTel. +41 58 286 66 [email protected]
Représentant Suisse RomandeMarc BarbezatTel. +41 79 56 55 [email protected]
MarketingBruno WiederkehrTel. +41 44 910 96 [email protected]
www.isaca.ch
