CAATs - ISACA

Transcription

CAATs - ISACA
Nr. 58, April 2002
Thema
CAATs
Switzerland Chapter
Germany Chapter
Austria Chapter © 9.4.2002
Inhaltsverzeichnis
Inhaltsverzeichnis
Impressum
Editorial
4
Herausgeber:
CAATs – Les outils de l’auditeur informatique
5
ISACA Switzerland Chapter
c/o Monika Josi
CAATs – Elektronisches Dokumentenmanagement in der
PricewaterhouseCoopers AG
Internen Revision
8
Nordstrasse 15
8035 Zürich
CAATs – Le traitement de transactions de masse
14
Redaktion:
CAATs – Goodies aus Bernhard Hambergers Präsentation,
Max F. Bretscher
GV Switzerland Chapter 2002
15
The ISACA Crossword Puzzle
18
Express Line
20
DACH-News
21
8235 Lohn, SH
News aus den Interessengruppen
24
Jeder Nachdruck, auch auszugsweise,
Veranstaltungen
26
Germany Chapter
30
Austria Chapter
31
Switzerland Chapter
32
KPMG Fides Peat
Badenerstrasse 172
8026 Zürich
Satz und Gestaltung:
WissensTransfer
Francesca Lüscher Baglioni,
sowie Vervielfältigungen oder sonstige
Verwertung von Texten oder Abbildungen aus dem Newsletter nur mit schriftlicher Genehmigung des Herausgebers
unter voller Quellenangabe.
Abo-Preis:
Mitglieder gratis
Abonnemente und Einzelnummern auf
Anfrage
Inserate:
1 Seite CHF 400.–
1/2 Seite CHF 240.–
1/4 Seite CHF 160.–
Erscheint 5 Mal jährlich
Auflage: 900 Exemplare
Nächste
Ausgabe
(Thema:
Finanz-
pakete): Juni 2002, Redaktionsschluss:
30. Mai 2002
3
Editorial
Quelles chaussures
regardez-vous?
Editorial
Il y a quelques années, un collègue
Auf welche Schuhe
schauen Sie?
oder fehlerhafte Prozesse aufgedeckt.
s’est moqué de moi. Je venais de lui
Zudem wird bei der Zieldefinition
annoncer mon prochain passage dans
eine
Vermittlerfunktion
la révision chez PWC et il m’a
Als ich vor einigen Jahren einem
zwischen der Informatik und den Be-
demandé : connais-tu la différence
Kollegen sagte, dass ich in den Be-
nutzern wahrgenommen. Langweili-
entre un réviseur introverti et un
reich Wirtschaftsprüfung bei Price-
ges, eintöniges Arbeitsgebiet? Ver-
réviseur extraverti ? Lorsqu’il dis-
waterhouseCoopers wechseln würde,
schrobene‚ rückwärtsgerichtete „Erb-
cute avec toi, le réviseur introverti
witzelte er: „Kennst du den Unter-
senzähler“? Wohl kaum. Eher ein
regarde ses propres souliers alors que
schied zwischen einem introvertier-
wichtiger Bestandteil einer zukunfts-
le réviseur extraverti regarde les
ten und einem extrovertierten Audi-
gerichteten Unternehmung und In-
tiens ! ». Cette image de la révision,
tor? Der introvertierte Auditor schaut
formatik.
sclérosée et incapable de se détacher
wichtige
auf seine Schuhe, wenn er mit dir
du passé, est encore présente dans
redet; der extrovertierte auf deine
Dieses Editorial ist gleichzeitig mein
Schuhe.“ Dieses Bild vom etwas ver-
Einstand in das NewsLetter-Team.
schrobenen Auditor/Revisor, der in-
Esther Gsell, die bisherige Verant-
Je ne peux pas affirmer que cette
trovertiert und langweilig seiner
wortliche für den NewsLetter, ist an
image ne correspondait pas alors à la
vergangenheitsfokussierten Tätigkeit
der Generalversammlung vom 20.
réalité. Mais ce que je vis au quoti-
nachgeht, hält sich in vielen Köpfen.
März 2002 aus dem Vorstand des
dien, au travail ou avec mes collè-
ISACA Switzerland Chapters zu-
gues de l’ISACA, est bien loin de ce
Ob dieses Bild je der Wahrheit ent-
rückgetreten. Herzlichen Dank an
passé. Nous intervenons dans des
sprach, kann ich nicht sagen. So wie
dieser Stelle für ihre engagierte
séminaires, des manifestations et des
ich jedoch bis jetzt meine Kolle-
Arbeit. Ich freue mich, zusammen
écoles et profitons de chaque occa-
ginnen und Kollegen, sei es bei der
mit Max Bretscher und Francesca
sion pour présenter et défendre
Arbeit oder bei ISACA, kennen-
Lüscher die Arbeit weiterführen zu
activement le point de vue de l’audit.
gelernt habe, stimmt es heute sicher
können
Nous sommes actifs, que ce soit dans
nicht. Wir sind als Referenten an
NewsLettern zu zeigen, wie inte-
les
Schulen und Anlässen tätig und
ressant und abwechslungsreich unser
Risk-Management, d’assurance-qua-
tragen offen dazu bei, dass unsere
Tätigkeitsfeld ist.
lité ou de sécurité. Le numéro de la
Anliegen
und
Sichtweisen
und
nicht
vielseitigen
projets
d’IT-Governance,
de
NewsLetter que vous tenez entre vos
untergehen. IT Governance, Risk
Management, Qualitätssicherung und
mit
bien des têtes.
mains
Monika Josi
montre
que
le
domaine
CAATs, Computer Assisted Audit
Sicherheitsberatung für Projekte sind
Techniques,
unter anderem Themen, die uns be-
champ d’activité pour les membres
schäftigen. Das heutige NewsLetter-
de l’ISACA. Les résultats que les
Thema CAATs, Computer Assisted
CAATs permettent d’obtenir sont
Audit Techniques, zeigt zudem, dass
essentiels dans les entreprises bâties
mit der gezielten Datenanalyse und
sur un Dataware ou dans le cadre de
den daraus erzielten Resultaten in die
projets de re-engineering. Ils mettent
Bereiche
Data-Warehousing
und
en lumière les faiblesses des pro-
Business
Process
Re-Engineering
cessus ou les erreurs générées par
vorgestossen wird. Bei CAATs wer-
certains systèmes. La discussion
den
avec les utilisateurs et les informa-
mittels
gezielter
Analysen
Schwächen im Ablauf eines Systems
4
constitue
un
autre
CAATs
ticiens lors de la fixation des objectifs de l’analyse des données contribue par ailleurs à renforcer les
relations entre deux groupes de
CAATs
Les outils de l’auditeur informatique
personnes qui ont traditionnellement
de la peine à communiquer en-
Selon une récente étude de l’Univer-
quêtes sur les mainframes et néces-
semble. Un métier pour des tailleurs
sité de Californie, il est produit
sitant une programmation complexe
de crayon et des compteurs de petits
chaque année entre 1 et 2 exabytes1
dans leur premier âge, ces outils sont
sous ? Une profession du passé appe-
de données, ce qui représente près de
maintenant des solutions pointues
lée à disparaître ? Non, certainement
250 megabytes par personne sur
qui ne sont plus uniquement réservés
pas. Nous sommes au contraire per-
terre. Sur ce volume global, les docu-
à la manipulation de données.
suadés que l’auditeur constitue un
ments papier de toutes sortes ne re-
partenaire incontournable pour toute
présentent que 0.003%, le reste étant
Nous tenterons donc, au sein de cet
entreprise qui veut maîtriser sa
dématérialisé… Cependant, toutes
article, de présenter un panorama de
gestion
ces données ne peuvent être consi-
ces différentes solutions, sans pour
dérées initialement comme de l’in-
autant pouvoir être exhaustifs car la
Cet éditorial est également mon pre-
formation. Il est nécessaire pour cela
soif de découverte de l’auditeur
mier pas dans le NewsLetter-team.
qu’elles subissent un traitement, réa-
informatique le pousse à voir en
J’y succède à Esther Gsell qui a
lisé par un processeur ou un cerveau,
chaque logiciel un outil d’évolution
laissé sa place au comité lors de la
afin de prendre une signification et
de son métier.
dernière assemblée générale. Au
ainsi pouvoir prétendre à la qualifi-
nom de tous mes collègues, je la
cation d’information.
Il est possible d’identifier trois
grands domaines de classifications
remercie ici pour son engagement
dans l’ISACA et l’entrain qu’elle a
Au sein des entreprises, cette crois-
des outils informatiques en fonction
montré dans tout ce qu’elle a entre-
sance est soutenue depuis plusieurs
des différentes phases d’une mission.
pris. Je me réjouis de collaborer avec
année par le déploiement de nou-
Max Bretscher et Francesca Lüscher.
veaux systèmes d’information, ges-
Ensemble, nous voulons vous offrir
tion électronique
encore de nombreuses NewsLetter,
ERP, datawarehouse… Ces sources
pour démontrer la richesse et l’in-
de données constituent, de manière
térêt de notre activité profession-
directe ou indirecte, la base des états
nelle !
financiers. Ainsi le métier de l’audit
de
documents,
Conduite de mission
Réalisation de contrôles
Gestion de connaissances
a du s’adapter à ce nouvel environnement. Une certification des comptes
Monika Josi
Conduite de mission
ne saurait se passer d’une analyse au
sein même des systèmes d’informa-
Les missions d’audit se complexi-
tion. Néanmoins, leur complexité
fient et nécessitent l’engagement
nécessite le recours aux spécialistes
d’un nombre important de res-
que sont les auditeurs informatiques
sources. La planification des tâches,
afin de permettre une analyse risque
l’identification et la documentation
exhaustive ou l’extraction et la mani-
des risques, la livraison des rapports
pulation de données.
et le suivi des heures sont quelquesunes des tâches que doivent gérer au
Pour pouvoir mener à bien sa mis-
quotidien le responsable de mission.
sion, l’auditeur informatique s’est
Il devient impossible pour lui de
doté au fil des années d’outils spéci-
réaliser de manière parallèle l’en-
fiques. Limités à des outils de re5
CAATs
semble de ces activités sans disposer
Les outils de gestion de projet
mation. Des outils comme Auto-
de solutions informatiques ad-hoc.
et d’audit tracking
nomy permettent de dresser de manière systématique et automatique
Le rôle des outils de gestion de pro-
des indexs de l’ensemble des infor-
Les outils de planning et de
jet ou d’audit tracking est varié.
mations contenues sur les serveurs
gestion de ressources
Généralement, ils permettent:
d’une entreprise de manière transpa-
n d’identifier l’état d’avancement
rente par rapport à leur localisation
La gestion d’un planning lorsque les
de la mission par rapport au plan-
géographique. Les versions les plus
collaborateurs travaillent souvent sur
ning;
avancées ne se contentent pas d’in-
plusieurs
n de proposer un lieu virtuel centra-
dexer les fichiers d’un serveur, elles
tient plus de l’art que du manage-
lisé de gestion de la documentation;
permettent également de répertorier
ment. Néanmoins de nombreux logi-
n de gérer le budget de la mission,
les informations se trouvant dans des
ciels tel que MSProject existent sur
avec suivi des dépenses et du temps
ERP, des e-mails, des GED, des in-
le marché pour fournir support et
passé par chaque collaborateur;
tranets… Déployés par les entre-
assistance, soit au niveau macro de la
n de mettre en place des alarmes en
prises, ces outils peuvent également
planification des équipes sur les
fonction de critères pré-établis;
constituer une aide importante pour
missions, soit au niveau macro des
n de synthétiser les résultats et de
l’auditeur.
missions en assurant l’attribution des
proposer des outils de reporting.
missions
simultanément
tâches.
Les outils d’extraction et
Les outils de présentations
d’analyse de données
La mission de l’auditeur ne s’arrête
Malgré l’apparition et la démocra-
plus à la réalisation de contrôle. La
tisation de certains outils d’analyse
La phase d’analyse et de gestion des
communication fait partie intégrante
de données, cette spécialité demeure
risques permet, dans une large me-
de son travail. Cela se traduit par des
le domaine de prédilection des audi-
sure, de définir les objectifs de la
rapports qui s’apparent parfois plus à
teurs informatiques lorsqu’il s’agit
mission. L’utilisation d’outils infor-
la démarche rédactionnelle d’un
de volumes importants ou de traite-
matiques permet une approche struc-
livre, ainsi qu’à des présentations
ments complexes. L’approche tradi-
turée conduisant à :
devant les organes dirigeants et les
tionnelle de l’échantillonnage, bien
n la définition d’un « environne-
comités d’audit. C’est la raison pour
que restant valable pour certaines
ment d’audit »;
laquelle le recours à des outils de
catégorie de tests, atteint les limites
n la gestion de l’historique de la
présentations tel que PowerPoint.
du travail manuel lorsque le rapport
Les outils d’analyse et de
gestion des risques
société/service;
entre le niveau de confiance et la
n l’identification itérative des con-
taille de la population suppose le
trôles requis.
Réalisation de contrôles
contrôle d’un échantillon de plusieurs centaines de cas.
Elle permet dès lors un classement
Les outils de recherche
La puissance de calcul des micro-
par priorité des objectifs non plus
basée sur des intuitions ou des con-
Trouver une donnée dans un système
ordinateurs alliée aux nouvelles ca-
sidérations du management, mais sur
d’information peut relever de la ga-
pacités de stockage et aux perfor-
une base objective d’analyse.
geure tant les systèmes sont hété-
mances réseaux, permettent la réali-
rogènes. C’est la raison pour laquelle
sation de tests sur l’ensemble des
les moteurs de recherche, bien con-
données de production. Que ce soit
nus dans le monde Internet, font leur
ACL, IDEA ou même Excel, ces
apparition au sein des entreprises
outils permettent des manipulations
afin de faciliter la recherche d’infor-
et des contrôles de plus en plus
6
CAATs
puissants permettant la définition
personnes compétentes et avec la
ciations
rapide de règles et l’identification
collaboration du service informati-
l’ISACA.
d’anomalies.
que. En effet, le caractère intrusif de
professionnelles
comme
ces solutions peut provoquer, lors
L’apparition de ces outils permet
d’une utilisation non maîtrisée, des
également l’apparition de nouvelles
dégâts importants, notamment l’arrêt
méthodes d’audit basées sur des ana-
de serveurs.
Internet
Internet a certainement constitué la
lyses statistiques nécessitant de dis-
plus grande (r)évolution dans le
poser d’une population exhaustive.
domaine du partage des connais-
L’un des exemples les plus flagrant
Les outils de monitoring
sances. Depuis plusieurs années, il a
est la percée de la loi de Benford qui
continus
permis la création de communautés
autour de l’audit informatique dans
prend pour postulat que dans une
large population, le premier chiffre
Les outils de monitoring continus
lesquelles l’information circule libre-
était un « 1 » près d’une fois sur
sont rarement utilisés dans le cadre
ment. Nous citerons ici à titre
trois ! Les contrôleurs fiscaux amé-
d’audits externes mais plutôt dans le
d’exemple le nouveau site mis en
ricains ont intégré ce contrôle dans
cadre d’audits internes car ils né-
place autour du CISA par l’AFAI
leur système automatique de vérifi-
cessitent une maintenance régulière.
ainsi que la liste de distribution de
cation permettant ainsi l’identifica-
Parmi les solutions existantes, on
l’ISACA (CISACA-L@purdue.edu).
tion facilitée des déclarations d’im-
peut relever:
pôts frauduleuses.
n Mise en place de journaux d’acti-
Mais d’autres sources sont également
vités divers (fichiers logs de con-
précieuses comme les sites des four-
nexions, historique de transaction,
nisseurs de matériels ou logiciels ou
Les outils d’analyse de
etc.).
encore les sites moins officiels de
sécurité
n Mise en place de contrôles « per-
certaines communautés de hackers
vasifs » divers (alertes sur des tenta-
qui recensent les failles de sécurité
L’apparition du e-business et l’ou-
tives d’accès à des fichiers, diction-
bien avant leur publication officielle.
verture des systèmes d’information
naire de mots de passe, etc.).
vers Internet a fait évoluer les risques
Bases de données internes aux
auxquels font face les entreprises.
Les outils d’analyse de sécurité sont
donc naturellement entrés dans le
Gestion des
connaissances
entreprises
Néanmoins, au-delà de ces outils
giron des auditeurs informatiques
afin de couvrir ces nouveaux risques.
La capacité à formaliser le savoir et à
« ouverts », la mise en place d’une
Parmi les différents types d’outils
le partager est l’un des facteurs
approche de partage de connaissance
existants, on compte par exemple des
d’évolution les plus importants du
au sein même des entreprises permet
logiciels permettant
métier d’auditeur au travers de sa
d’accroître la connaissance collective
n d’établir automatiquement des
capacité à appréhender les risques
et ainsi d’augmenter la pertinence et
cartographies du réseau;
d’une
constant
la qualité du travail réalisé. Le par-
n de réaliser des tests d’intrusion
mouvement et ainsi à améliorer la
tage de la connaissance commence
depuis l’extérieur ou l’intérieur de
qualité de son travail.
par une volonté des différentes per-
technologie
en
sonnes de mettre en commun leur
l’entreprise;
n de vérifier la qualité des mots de
Cette démarche peut être conduite à
savoir et surtout de consacrer du
passe.
différents niveaux, au sein d’un dé-
temps à sa formalisation.
partement, au sein d’une entreprise
Néanmoins, il est important de sou-
ou encore au sein de communautés
ligner que l’utilisation de ces outils
formées par exemple autour d’asso-
doit impérativement se faire par des
7
CAATs
En guise de conclusion, bien qu’il
Die Autoren streichen hervor, dass
puisse sembler surprenant à certains
einzelne Instrumente wegen ihrer
d’utiliser des programmes informa-
Komplexität die Mitarbeit des In-
tiques pour en contrôler d’autres, il
formatik-Revisors benötigen, auch
convient de ne pas perdre de vue que
wenn viele Hilfsmittel heute sehr
la définition des contrôles et l’utilisa-
anwenderfreundlich geworden sind.
tion de ces outils demeurent de la
responsabilité de l’auditeur, mais que
cette évolution est indubitable devant
la déferlante de données à laquelle
nous devons faire face.
CAATs
Elektronisches Dokumenten-
Marc
Besson,
Technology
Risk
Consulting, Andersen
management in der Internen
Sébastien Sarrazin, Technology Risk
Revision
Consulting, Andersen
Einleitung
zentrale Applikation für die Interne
Revision darstellt.
1 Un exabyte est un milliard de gigabytes
Die heutige IT-Technologie bietet
(1018 bytes).
weit mehr Möglichkeiten, als bislang
von den Internen Revisoren genutzt
werden (1) und erlaubt, fast alle
Aspekte der internen Revisionstätig-
Zusammenfassung
Anthropologische
Analyse der RevisionsTätigkeit
keit durch Software-Applikationen
effizienter und/oder effektiver zu
PricewaterhouseCoopers hat im Jahr
Die Autoren geben einen Überblick
gestalten.
ausgereifte
1990 ein Anthropologen-Team damit
über die verschiedenen Ausgestal-
Softwarelösungen u.a. für die folgen-
beauftragt, in einem Feldversuch die
tungen der Computerunterstützung,
den Bereiche zur Verfügung:
Arbeitsgewohnheiten von Revisoren
welche heute dem Informatikrevisor
n Elektronisches Dokumentenma-
zu analysieren. Dabei zeigte sich,
zur Verfügung stehen. Längst sind
nagement (EDM)
dass die Revisoren den grössten Teil
CAATs nicht mehr auf eine Daten-
n Risk Assessment
ihrer Zeit (33%) mit Dokumentieren
analyse oder auf die Auswahl von
n Risk Management
verbrachten, während sie für den
Zufallszahlen beschränkt:
n Prüfungsplanung
Evaluationsprozess, also das Prüfen
n Datenanalyse und -selektion
im engeren Sinne, nur 28% ihrer Zeit
Planung und Controlling der Man-
n Control Risk Self Assessment
einsetzten. Als man die Teilprozesse,
date und der Projektarbeit; Präsenta-
(CRSA)
Dokumentation,
tionswerkzeuge; Datenabfragen und
n Unterschlagungsprüfungen
und
-analysen;
n Network Security Assessment
menzählte, kam man auf einen zeit-
n ERP Assessments
lichen Anteil von fast 50% der ge-
Sicherheitsinstrumente,
Überwachungstools und nicht zuletzt
So
stehen
Internet als Informationsquelle.
Qualitätskontrolle
Berichtsvorbereitung
zusam-
samten Tätigkeit.
In diesem Beitrag werden wir uns
auf das EDM konzentrieren, welches
Aufgrund
fast alle Aspekte der internen Revi-
Studie wurde beschlossen, ein elek-
sionsprozesse abdeckt und somit die
tronisches Dokumentenmanagement-
der
Ergebnisse
dieser
Tool zu entwickeln, welches kon8
CAATs
sequenterweise die hauptsächlichen
den sich zum Teil beträchtlich hin-
was zunächst gewisse Anpassungen
Revisionsprozesse abdecken sollte,
sichtlich der gebotenen Funktiona-
bei den Abläufen der Internen Revi-
wobei der Dokumentation ein be-
lität. Dabei gibt es Systeme, deren
sion erforderlich machen könnte.
sonderes Augenmerk galt. Seitdem
Funktionalität so weitreichend ist,
Sobald die Umstellung erfolgt ist,
wurden diese Applikationen ständig
dass man mit Recht von Revisions-
dürfte die Standardisierung der Pro-
weiterentwickelt und in der Praxis
management-Systemen
sprechen
zesse nicht nur die Führung der
der Internen Revision erprobt.
kann. So sind teilweise Module für
internen Revisionsabteilung verein-
das Risk Assessment oder das Wis-
fachen, sondern auch neuen Mit-
sensmanagement integriert.
arbeitern den Einstieg erleichtern.
Würde man die Studie heute in der
n Konsistente und nachvollziehbare
gleichen Form durchführen, käme
man wahrscheinlich auf etwas andere
Im Anhang 1 haben wir die Anfor-
Dokumentation
Relationen, weil der Einsatz der In-
derungen zusammengestellt, die aus
Die Standardisierung trägt zu einer
formationstechnologie zugenommen
unserer Sicht zumindest an die Funk-
einheitlichen und besser nachvoll-
hat, was gerade beim Dokumenta-
tionalität von EDM-Systemen ge-
ziehbaren Dokumentation bei.
tionsprozess eine Zeitersparnis er-
stellt werden sollten.
n Verbessertes
Wissensmanage-
ment
möglicht.
Durch die systematische Erfassung
Der Nutzen der
Automatisierung
Anforderungen des IIA
von Prüfungsprogrammen, Prüfungsschritten, Feststellungen, Berichten
und
Die „Standards for the Professional
Die wesentlichen Vorteile
anderem
revisionsrelevantem
Wissen, werden Zugang, Austausch
und Nutzen von Wissen begünstigt.
Practice of Internal Auditing“ (2) des
US-amerikanischen Institute of Inter-
Sobald ein EDM-System vollständig
n Effizientere Berichterstattung
nal Auditors (IIA) erlauben den Re-
implementiert ist und dessen Mög-
Dies gilt insbesondere für Lösungen,
visoren, ihre Arbeit nicht nur in
lichkeiten von den Benutzern ausge-
welche die Generierung von Stan-
Papierform, sondern auch in jeder
schöpft werden, kann mit deutlich
dardberichten unterstützten, jedoch
anderen Form, also beispielsweise
spürbaren Verbesserungen für die
schon die verbesserte Dokumenta-
elektronisch, zu dokumentieren (3).
Interne Revision gerechnet werden:
tion dürfte zur erleichterten Erstel-
Darüber hinaus hebt das IIA noch die
n Erhöhte Produktivität und Effek-
lung des Revisionsberichtes beitra-
Wichtigkeit
tivität der Mitarbeiter
gen.
Sicherheitskopien hervor. Insofern
Die erhöhte Produktivität und Effek-
n Höhere und konstantere Qualität
besteht hinsichtlich des Dokumenta-
tivität resultiert vor allem aus der
der Revisionsarbeit
tionsmediums weitgehende Flexibili-
vereinfachten Dokumentation und
Aus dem bisher Gesagten ergibt sich,
tät.
der Standardisierung der Prozesse.
dass sich die Qualität der Internen
Dies kommt insbesondere zum Tra-
Revisionsprozesse insgesamt verbes-
gen, wenn gleiche oder ähnliche Prü-
sern dürfte. Dies u.a. auch deshalb,
fungen durchgeführt werden. Ausser-
weil die Qualitätskontrolle durch die
dem können Revisoren an verschie-
Standardisierung und Transparenz
denen Orten gleichzeitig mit den
der Prozesse effektiver ausgeübt
Unter EDM-Tools verstehen wir
einem Ordner arbeiten, was beträcht-
werden kann.
Applikationen, welche es ermög-
lichen Zeitgewinn und Einsparungen
n Besseres Ansehen der Internen
lichen, die Prozesse der Internen
bei den Reisekosten verspricht.
Revision innerhalb der Organisation
Revision von der Planung, über die
n Standardisierung der Revisions-
Die genannten Qualitätsverbesserun-
Durchführung bis hin zur Dokumen-
prozesse
gen werden auch das Image der
tation der Ergebnisse elektronisch
Der Einsatz von EDM-Applikationen
Internen
abzubilden. Die auf dem Markt er-
setzt die Standardisierung der Pro-
Organisation verbessern.
hältlichen EDM-Systeme unterschei-
zesse der Internen Revision voraus,
der
Erstellung
von
Funktionalität von EDMSystemen
Revision
innerhalb
der
9
CAATs
Voraussetzungen für das
Methodologie einzuführen, welche
sei. Allerdings stellt sich oft heraus,
Erreichen des Nutzens
nicht mit ihrer Strategie und den
dass ein Revisor ein neues IT-Tool
entsprechenden Werttreibern abge-
herstellt, nur um es nach einem Jahr
Es sei jedoch davor gewarnt, sich
stimmt ist, können die angepeilten
doch ersetzen zu müssen. Eine wei-
von der Einführung eines EDM-
Vorteile kaum erzielt werden.
tere Gefahr ist, dass die Person,
Tools einen schnellen und einfachen
welche die Lösung erstellt hat und
Erfolg zu versprechen. Die genann-
damit umgehen kann, das Unter-
ten Vorteile können nur realisiert
Selbst erstellte
nehmen verlässt. In solchen Fällen
werden, wenn vor dem Auswahlent-
Revisionssoftware
würden sich scheinbare Kostenvorteile schnell als Illusion erweisen.
scheid die bestehenden Prozesse und
Bedürfnisse sorgfältig analysiert und
Die Eigenentwicklung von EDM-
Ausserdem sollte berücksichtigt wer-
mit den angebotenen Lösungen ver-
Applikationen kann durchaus eine
den, dass Software schnell veraltet
glichen werden. Ausserdem muss
Alternative darstellen (4). Dabei
und an Nutzen einbüsst, wenn sie
sich die Interne Revision im Klaren
sollte allerdings die Verantwortung
nicht laufend weiterentwickelt wird.
sein, dass die erfolgreiche Einfüh-
dafür im Auge behalten werden, dass
Die erforderliche Zeit für Entwick-
rung eines EDM-Tools eine gewisse
die optimale Lösung im Hinblick auf
lung, Testen und Einführen einer
Standardisierung der Prozesse erfor-
Nutzen, Kosten und Risiken für die
Applikation lenkt die Interne Revi-
dert.
Organisation gefunden wird, zumal
sion von ihrer eigentlichen Aufgabe
der Internen Revision eine Vorbild-
ab, was nicht im Interesse des Audit
Es ist daher wichtig, nicht nur tech-
funktion innerhalb der Organisation
Committees oder des Verwaltungs-
nische Schulungen durchzuführen,
zukommt. Bei der Abwägung der
ratspräsidenten sein dürfte.
um die Mitarbeiter der Internen
Vor- und Nachteile einer internen
n Angepasste Software
Revision mit dem EDM-Tool ver-
Entwicklung sollten vor allem die
Eine weitere Alternative wäre, eine
traut zu machen, sondern ganzheit-
folgenden
externe
lich den Internen Revisionsprozess
werden.
Entwicklung eines EDM-Tools zu
unter Einsatz des Tools zu schulen.
n Sicherstellung der IT-Unterstü-
beauftragen. Allerdings ist sehr frag-
tzung
lich, ob dies eine ökonomische Lö-
Bevor die Wahl auf eine interne Lö-
sung wäre, zumal einige der auf dem
sung fällt, sollte unbedingt die volle
Markt erhältlichen EDM-Tools heute
Unterstützung durch die IT-Abtei-
mehr Anpassungsmöglichkeiten bie-
lung sichergestellt werden. In vielen
ten als den Internen Revisoren oft
Fällen entwickeln Revisionsabteilun-
bewusst ist. Die gewünschte mass-
gen letztlich ihre eigenen Lösungen,
geschneiderte Applikation kann da-
Bei der Auswahl der passenden
weil ihre IT-Abteilung sie nicht ent-
her in den meisten Fällen auf der
Technologie sollte die Interne Revi-
sprechend unterstützen kann. Ande-
Basis
sion darauf achten, dass die Möglich-
rerseits streben die IT-Abteilungen
applikation gefunden werden. Die
keiten und erwarteten Vorteile der in
einiger Unternehmen die Kontrolle
Entscheidung zwischen Kauf und
Frage kommenden Softwarelösungen
über alle Softwareentwicklungen an
Selbstentwicklung
mit der Technologiestrategie der In-
und tolerieren es nicht, wenn einzel-
aufgrund
ternen Revision eng abgestimmt
ne Abteilungen ihre eigene Software
Leistungsfähigkeit der angebotenen
sind. Ausserdem muss sichergestellt
entwickeln.
Lösungen und einer Gegenüber-
sein, dass eine in Frage kommende
n Berücksichtigung der langfristi-
stellung mit den eigenen Anforde-
Lösung die spezifischen Prozesse,
gen Perspektiven
rungen erfolgen.
Systeme
In
Kriterien für die
Systemauswahl
Grundsätzliche Überlegungen
und
Ziele
unterstützen
Aspekte
internen
berücksichtigt
Revisionsabteilungen
kann. Falls die Interne Revision
wird gelegentlich die Frage stellt, ob
durch den Einsatz einer bestimmten
man wirklich neue Software kaufen
Technologie gezwungen wird, eine
solle, da die Selbsterstellung billiger
10
Software-Firma
einer
flexiblen
einer
sollte
mit
der
Standard-
letztlich
Analyse
der
CAATs
Auswahl der passenden
verspricht nur eine Analyse über
Systemen grösser als in allen ande-
Technologie
einen längeren Zeitraum (drei bis
ren Kategorien von Internal Audit-
fünf Jahre) aussagekräftige und ver-
Software.
Interne Revisoren sollten die folgen-
gleichbare Ergebnisse.
den Aspekte berücksichtigen, wenn
n Zuverlässigkeit der Anbieter
Die Resultate der Studie weisen
sie ihre Anforderungen an eine Inter-
In letzter Zeit sind einige neue
darauf hin, dass die Benutzung von
nal
Anbieter im Markt aufgetaucht, die
Software zur Arbeitspapierführung
festlegen:
EDM-Lösungen anbieten. Man sollte
grundsätzlich zu positiven Ergebnis-
n Ermittlung der Benutzer-Anfor-
sich jedoch über die Risiken im
sen geführt hat. Von den befragten
derungen
Klaren sein, mit der Software von
Revisoren gaben 49% an, dass sie
Es sollte Klarheit über die Bedürf-
Anbietern zu arbeiten, die über keine
ihre Arbeitspapiere elektronisch füh-
nisse bestehen und auf dieser Basis
nachgewiesene Erfahrung in diesem
ren. Die Mehrheit der Benutzer
sollten die Anforderungen an die
Bereich verfügen.
(67%) verlässt sich noch auf ein-
Technologielösung bestimmt wer-
n Einholen von Referenzen
fache Office-Suite-basierte Lösungen
den. Die ausgewählte Technologie
In diesem Zusammenhang ist unbe-
oder auf intern entwickelte Software.
sollte flexibel genug sein, um die
dingt zu empfehlen, Referenzinfor-
spezifischen Anforderungen der In-
mationen zur angebotenen Techno-
Nachfolgend
ternen Revision befriedigen zu kön-
logieplattform
gemäss dieser Studie wichtigsten
nen. Im Hinblick darauf sollte das
sind vor allem die Anzahl bestehen-
Audit
Technologie-Plattform
Vorhandensein
der
einzuholen.
Dabei
eine
Übersicht
EDM-Lösungen:
gewünschten
Funktionalitäten überprüft werden.
EDM-Tool
Marktanteil *
Web-Adresse des Anbieters
Ausserdem sollte darauf geachtet
TeamMate
39%
www.pwcglobal.com/teammate
AutoAudit
27%
www.paisleyconsulting.com
AuditSystem/2
9%
www.deloitte.com
übereinstimmt.
Auditor Assistant
3%
www.auditorassisstant.com
n Erweiterungs- und Integrations-
Sonstige
22%
werden, dass die zur Auswahl stehende Technologie mit der Technologieplattform
der
Organisation
fähigkeit
Empfehlenswert sind TechnologiePlattformen, welche die Integration
von verschiedenen Internal AuditApplikationen
der
ermöglichen,
im
Gegensatz zu isolierten Einzellösungen. So ist es beispielsweise eine
* Marktanteil exklusive Office-Suite-basierte Software und intern entwickelte
Software
de Benutzer und Angaben zu erfolg-
Anmerkungen
reichen Implementierungen wichtige
(1) Vgl. Carly Lombardy, Winning the
Anhaltspunkte.
war on paper?, Accounting Technology,
grosse Arbeitserleichterung, wenn es
March 2001
ein Interface zwischen dem Risk
(2) Vgl. The Institute of Internal
Assessment Tool und dem EDM
gibt.
n Kosten der Automatisierung
Bei der Gegenüberstellung von Kosten und erwarteten Vorteilen sollte
man sich nicht auf die Betrachtung
eines Jahres beschränken. Softwareanbieter verfolgen oft die Strategie,
die Initialkosten möglichst gering zu
halten, um in Folgejahren hohe Kosten für Updates zu fakturieren. Daher
Die wichtigsten Produkte
auf dem Markt
Auditors, Florida, Standards for the professional practice of internal auditing,
Internetseite,
http://www3.theiia.org/
In der Zeitschrift „Internal Auditor“
ecm/guide-frame.cfm?doc_id=1617
des Institutes of Internal Auditors
(3) Vgl. The Institute of Internal Audi-
(IIA) wurden im August 2001 die
tors, Florida, Practice Advisory 2330-1:
Ergebnisse einer Erhebung veröf-
Recording
fentlicht, die zum Einsatz von EDM-
http://www3.theiia.org/ecm/guide-frame.
Systemen in elf Ländern durchge-
cfm?doc_id=1551
Information,
Internetseite,
führt wurde (5). Demnach ist die Zufriedenheit der Benutzer bei EDM11
CAATs
(4) Vgl Internal Auditing & Business
ist, nicht mehr verändert werden
Prinzipiell sollten mindestens die fol-
Risk, November 2001, The DIY (Do it
kann.
genden Kontrollen in der Applikation verankert sein:
Yourself) Challenge, Seiten 8–12
(5) Vgl. David Salierno, Tools of the
Schliesslich sollte ein EDM-Tool
n Der Empfänger einer Review
Trade, Internal Auditor, August 2001,
auch den Einsatz automatisierter
Note sollte diese nicht löschen kön-
S. 38–39
Prüfzeichen und Review Notes sowie
nen, sondern nur der Ersteller bzw.
das elektronische Abzeichnen von
jemand in einer höheren Position.
Arbeitspapieren unterstützen, wobei
n Der Ersteller eines Arbeitspapiers
Wolfgang Hobuss/Fatma Seheri
ein
sollte dieses nicht löschen können,
PricewaterhouseCoopers, Zürich
Änderungen erforderlich ist.
Schutz
vor
unberechtigten
nachdem es als durchgesehen abgezeichnet wurde.
n Ein Arbeitspapier, welches eine
Anhang 1: Anforderungen
an die Funktionalität
Erstellung von Arbeitspapieren
Kritische Durchsicht der
Feststellung belegt, sollte auf keinen
Arbeitspapiere
Fall gelöscht werden können.
n Hervorhebungen sollten dem Prü-
Die elektronischen Arbeitspapiere
fungsleiter anzeigen, welche Arbeits-
sollten so aufgebaut sein, dass die für
papiere allenfalls geändert wurden.
die Revision verantwortlichen Mitarelektronischen
beiter bei Durchsicht der Arbeits-
Arbeitspapiere sollte den Revisoren
papiere die Möglichkeit haben, ihre
erlauben, den Revisions-Prozess pro-
Initialen, das Datum und etwaige
blemlos nachzuvollziehen. Ausser-
Review Notes auf jedem einzelnen
Ein EDM-Tool sollte eine bequeme
dem sollte eine angemessene und
Dokument einzufügen.
Dokumentation von Prüfnachweisen
Die
Struktur
der
Nachweisfunktion
mittels Referenzierung zu relevanten
unkomplizierte Dokumentation von
Beobachtungen, Soll/Ist-Abweichun-
Entsprechende Statusberichte sollten
Abschnitten in den Arbeitspapieren,
gen, Nachweisen und Risiken mög-
die
gescannten Dokumenten und elektro-
lich sein, um die Prüfungsergebnisse
welche Prüfungsschritte und Arbeits-
lückenlos belegen zu können.
papiere abgeschlossen und bereit zur
Revisionsleitung
informieren,
nischen Signaturen ermöglichen.
Durchsicht sind und welche Arbeits-
Es muss ausserdem möglich sein,
Die Integration anderer üblicher
papiere nach der Durchsicht noch
jeden Prüfungsschritt in einem mehr-
Applikationen, wie Word, Excel oder
geändert wurden. Auf diese Weise
stufigen Prüfungsprogramm indivi-
sonstiger
Office-Suite-Programme
wird es der Revisionsleitung ermög-
duell abzuzeichnen. Dies erlaubt den
sind für die praktische Arbeit we-
licht, sich auf die kritischen Bereiche
einzelnen Mitgliedern des Prüfungs-
sentliche Erleichterungen. Das Glei-
der Prüfung zu konzentrieren.
teams, gleichzeitig an verschiedenen
Prüfungsschritten des gleichen Prü-
che gilt für die Möglichkeit einer
Referenzierung zwischen Arbeitspa-
Die unterschiedlichen Rollen inner-
fungsprogramms zu arbeiten und
pieren bzw. zu anderen Applika-
halb des Revisionsteams sollten über
ihren jeweiligen Arbeitsbereich nach
tionen. Gemäss heutigem Stand der
entsprechende
Autorisationsebenen
Erledigung elektronisch zu signieren.
Technik sollten ausserdem Imaging-
im Berechtigungskonzept abgebildet
Dabei sollten die folgenden Anforde-
Programme, welche eine reibungs-
werden können. So sollte der Erstel-
rungen an elektronische Signaturen1
lose
gescannten
ler eines Arbeitspapiers dieses nicht
gestellt werden:
Dokumenten und Fotografien erlau-
innerhalb der Applikation abzeich-
n Die elektronische Signatur muss
ben, zur Ausstattung gehören. Selbst-
nen können, und ein Revisor mit
eindeutig dem Unterzeichnenden zu-
verständlich muss dabei die Integrität
lesendem Zugriff sollte nicht in der
zuordnen sein.
der Arbeitspapiere in der Weise
Lage sein, Arbeitspapiere zu ver-
n Über die elektronische Signatur
sichergestellt sein, dass ein Doku-
ändern.
kann nur der Unterzeichner ver-
Integration
von
ment, sobald es einmal eingescannt
12
fügen.
CAATs
n Die Verifizierbarkeit der elektro-
Schliesslich sollten alle Arbeits-
Leistungsfähige EDM-Tools bieten
nischen Signatur muss gegeben sein.
papier-Informationen und -Signatu-
daher die Option, Berichtsentwürfe
ren automatisch verschlüsselt wer-
auf Knopfdruck zu generieren. Dabei
den. Dies betrifft auch etwaige
werden Textbausteine aus den Ar-
Arbeitspapiere aus externen Applika-
beitspapieren so zusammengestellt,
Arbeitspapierablage
tionen wie Word und Excel. Abge-
dass ein Standardbericht entsteht,
Nachdem elektronische Arbeitspa-
sehen davon sollte es jederzeit mög-
dessen Qualität natürlich wesentlich
piere abgelegt oder archiviert worden
lich sein, Arbeitspapiere zu ent-
von der Qualität der Arbeitspapiere
sind, sollte es weiterhin möglich
schlüsseln, falls dies zum Lesen
abhängt.
sein, diese in einer durch Menschen
nötig sein sollte.
In diesem Zusammenhang ist es
lesbaren Form aufzurufen. Dabei
sollte die Datenintegrität zumindest
Referenzierungssystem
hilfreich, wenn die EDM-Applikation dem Benutzer die Möglichkeit
der entsprechen, die man im Hinblick auf Papierdokumente erwartet.
Sicherheit
Von grosser praktischer Bedeutung
bietet,
ist die Ausgestaltung des Referenzie-
berichtsformate zu definieren, so
rungssystems
Arbeitspapiere.
dass das Berichtsformat den Bedürf-
Dabei sollte erwartet werden können,
nissen der Organisation angepasst
dass eine automatische Referenzie-
werden kann.
für
Der Zugriff zu elektronischen Ar-
rung der Arbeitspapiere zum Prü-
beitspapieren sollte mittels Passwort
fungsprogramm und der Feststellun-
auf autorisierte Teammitglieder be-
gen zu den Arbeitspapieren erfolgt.
schränkt werden.
Falls
sich
die
Seitenzahl
unterschiedliche
Standard-
Datenbank-Tabellen
eines
Arbeitspapiers ändert, sollten die
Wichtige Informationen wie Prü-
Die Änderung von gescannten Doku-
übrigen
automatisch
fungsschritte, Feststellungen, Review
menten sollte ausgeschlossen sein.
angepasst werden. Ausserdem sollte
Notes, elektronische Signaturen und
Wenn also beispielsweise ein Bank-
die Referenzierung von und zu ge-
Änderungshistorien sollten in Daten-
auszug eingescannt wurde, sollte es
scannten Dokumenten kein Hinder-
bank-Tabellen enthalten sein. Durch
nicht möglich sein, dass ein Team-
nis darstellen.
Datenbanken
Seitenzahlen
gesteuerte
Systeme
haben den Vorteil, dass sie den
mitglied die Beträge auf dem BankDarüber hinaus sollten auch Links
Zugriff mittels standardisierter Ab-
vom Arbeitsordner des EDM-Tools
fragesprachen wie SQL (Standard
Funktionale Rollen sollten sich in
zu Dokumenten, die sich ausserhalb
Query Language) erlauben.
unterschiedlichen Autorisationsebe-
dieses Orders befinden, also bei-
nen innerhalb des Berechtigungskon-
spielsweise zu Webseiten, Access
zepts widerspiegeln. Folgende funk-
Datenbanken, usw. etabliert werden
1 Anmerkung der Redaktion: Hier sind
tionale Rollen sollten zumindest
können.
elektronische Signaturen im Sinne von
auszug ändern kann.
unterschieden werden können:
Kennungen oder Visa in elektronischer
n nur leseberechtigt
n Ersteller
Form gemeint, nicht elektronische Unter-
Berichtsgenerierung
n Prüfungsleiter
schriften im Zusammenhang mit einer
Public Key Infrastructure.
n Ersteller/Prüfungsleiter
Der Bericht ist das sichtbare End-
n Administrator
produkt der internen Revisionstätigkeit und erfordert daher besondere
Ausserdem sollte automatisch eine
Sorgfalt, was bei komplexen Revi-
Änderungshistorie zu allen Modifi-
sionen mit grossem Zeitaufwand
kationen erstellt werden.
verbunden sein kann.
13
CAATs
CAATs
Le procédé selon Benford, physicien
Le traitement de
neral Electric Company, est basé sur
au département de recherche de Gel’analyse de la fréquence des chiffres
transactions de masse
et des combinaisons de chiffres dans
des nombre naturellement produits.
En 1938, Benford avait déjà montré
Dans le contexte de systèmes d’in-
Pour pouvoir détecter des faits com-
par des recherches statistiques que
formation
hautement
merciaux revêtant un intérêt parti-
les nombres commençant par de
automatisés et intégrés, l’auditeur est
culier, l’auditeur doit contrôler auto-
petits chiffres apparaissent plus fré-
de plus en plus confronté à un flot de
matiquement la totalité des transac-
quemment. Les nombres tels que
données. Alors que les données de
tions traitées et, grâce à un procédé
1024 commençant par 1 apparaissent
transaction dans le système sont les
de généralisation, il doit en déduire
statistiquement plus souvent que des
traces d’activités commerciales, la
des caractéristiques des cas ou de
nombres tels que 93, commençant
question se pose de savoir comment
comportements «typiques». De tels
par un 9. Benford a réussi à formuler
ces données peuvent être utilisées
profils permettent ensuite de vérifier
sa loi sur la fréquence des chiffres ou
efficacement à des fins de surveil-
toutes les transactions.
des combinaisons de chiffres dans
modernes,
une formule mathématique.
lance et de contrôle.
Certains profils étant clairement
Si l’auditeur est confronté à des sys-
définis, par exemple le profil d’un
Mark J. Nigrini, professeur de comp-
tèmes tels des systèmes de décompte
«mauvais client», l’auditeur dispose
tabilité à la Southern Methodist
de cartes de crédit, de decomptes
alors d’un instrument de contrôle
University du Texas et collaborateur
téléphoniques, de négoce boursier ou
signalant automatiquement les ris-
scientifique au Ernst & Young Cen-
d’exécution d’ordres provenant de
ques.
ter for Auditing Research and Advanced Technology à l’Université du
grandes sociétés traitant une vaste
quantité de transactions, il choisira
Si ce qui doit être recherché n’est pas
Kansas, a développé un programme
plutôt une approche d’audit orientée
clair, ce sont les transactions qui
appelé Digital Analyzer. Basé sur la
procédures.
bonnes connais-
divergent fortement du profil auquel
distribution de fréquence selon Ben-
sances dans le domaine de la gestion
elles devraient correspondre qui
ford, ce programme permet de noter
de projet, de la mise en place de
devront retenir l’attention. L’auditeur
la fréquence de certains chiffres, leur
systèmes de contrôle interne et des
analysera de telles transactions et
combinaison et leurs arrondis. En
technologies
s’imposent
cherchera des informations supplé-
supposant que pratiquement person-
alors, ainsi qu’en règle générale, une
mentaires à leur sujet. Il ne disposera
ne
procédure axée sur le projet lors de
alors pas encore d’une preuve mais
chiffres les laisserait apparaître à leur
la phase d’introduction.
sera amené à formuler des questions
fréquence naturelle, surtout si ces
ciblées.
chiffres fictifs ou modifiés sont
De
utilisées
modifiant
ou
inventant
ces
générés automatiquement, l’analyse
L’auditeur peut également choisir de
procéder selon les résultats. En rai-
Il y a plusieurs méthodes et techni-
digitale est un instrument permettant
son de la complexité des liens entre
ques permettant d’effectuer de telles
de détecter rapidement les modèles
les données et de la grande quantité
analyses. A titre d’exemple pratique
dans les données de transaction.
de données toujours semblables, les
de l’analyse de transactions de masse
relations statistiques entre chaque va-
sous l’aspect de la détention de frau-
L’analyse digitale n’est pas toujours
riable ne sont pas faciles à distinguer
des sert l’analyse digitale selon
facile à interpréter. Si aucun écart par
et ne peuvent être constatées que
Frank Benford.
rapport à la loi Benford n’est consta-
grâce à des analyses informatiques.
té, cela ne signifie pas pour autant
qu’il n’y a pas d’irrégularités. Même
dans le cas de divergences, une ana-
14
CAATs
lyse approfondie est nécessaire pour
déterminer leur origine. L’auditeur
sait toutefois déjà où d’autres vérifications sont nécessaires. C’est pourquoi, l’analyse digitale est souvent
appliquée avec d’autres techniques
analytiques de verification.
CAATs
Goodies aus Bernhard Hambergers
Präsentation
GV Switzerland Chapter 2002
Bernhard Hamberger,
Prüfung
Prüfung im
im System
System vs.
vs. Prüfung
Prüfung ausserhalb
ausserhalb des
des Systems
Systems
Ernst & Young, Bern
Wirtschaftsprüfer
(Mit Bewilligung des Autors: Nach-
EDV-System des Mandanten
1
druck der französischen Zusammen-
prüft
A) Daten im operativen System
fassung des Artikels „Zum Umgang
oder
mit Massentransaktionen“, erschie-
B) “Sekundärdaten”
nen im Schweizer Treuhänder Mai
2001)
manuell in
Stichproben
Offene
Posten
Liste
2
Datenextraktion
via Programm
oder Query
1
27.03.02
3
Evtl.
Druckroutine
4
Offene
Posten
Datei
computergestützt
volle Grundgesamtheit
ISAAS
Grundidee:
Grundidee: Vom
Vom Allgemeinen zum
zum Speziellen
Speziellen
2
27.03.02
ISAAS
15
CAATs
Analysewerkzeuge –– Trend
Trend Analyse
Obere Grenze 95 %
70
60
50
Prod. A
Untere Grenze 95 %
40
Obere Grenze 95 %
30
Prod. B
20
10
Untere Grenze 95 %
0
Jan-95
3
27.03.02
Jul-95
Jan-96
Jul-96
Jan-97
Jul-97
ISAAS
Analysewerkzeuge
Analysewerkzeuge –– Regressionsanalyse
Regressionsanalyse
Umsatzerlöse vs. Materialaufwand
Umsatzerlöse
Daten der Prüfungsperiode
Ausreißerwert
Materialaufwand
4
16
27.03.02
ISAAS
CAATs
Analysewerkzeuge –– Profiler
Profiler
Profil Angestellte
140000
AMBIGUITY:
Akzeptabel in beiden
Profilen
Einkommen
Einkomm
en
120000
100000
80000
CONFUSION: Gehört
eher zu Profil
Angestellte als zum
Profil gew. AN
60000
40000
ANOMALY: Ist für das
eigene Profil nicht
mehr akzeptabel
20000
5
27.03.02
Resturlaub
ISAAS
Computergestützte
Computergestützte Prüfung mit Data
Data Warehouse – zukünftiger
zukünftiger Ansatz
Ansatz
EDV-Mitarbeiter
beim Mandanten
1
Konzipiert Data Warehouse
Formuliert Datenanforderung
2
Durchführung Download
(t = kontinuierlich)
3
4
Prüfung und Aufbereitung
der Daten sowie Beurteilung
des Mandantensystems
+ Feedback
Delta
Daten
Externe
Daten
6
27.03.02
Wirtschaftsprüfer und
Mandant als AISAnwender
8
EDV-Prüfer
ISAAS
6
5
Formulieren des sachlichen
Inhalts des Data Warehouse
Konzeption und Verwaltung
des Data Warehouse.
Feedback über Qualität
des Mandantensystems
AIS
Data Warehouse
Daten diverser
Funktionsbereiche des
(operativen) Mandantensystems
fortlaufende
Anwendung
erweiterte
Toolbox
auf gleichbleibender
AIS-Struktur
lokal oder
remote
access
7
Warnsystem
Bernhard Hamberger,
Ernst & Young, Bern
17
The ISACA Crossword Puzzle
The ISACA Crossword Puzzle 2/02
Ein Wort in des
Kreuzworträtselbastlers
Namen
1
17
fragt, wie es möglich sei, dass kein
Gewinner gezogen werden könne,
und welches denn diese komplizier-
22
kungen zum Anlass, dem Rätsel eine
neue Dimension anzufügen, den
„Prüfer“-Jackpot. Hier also das
42
eingezogen werden.
3. Die Gewinnerin bzw. der Gewinner muss der Redaktion das richtige
Lösungswort vor Redaktionsschluss
der Folgenummer des NewsLetters
eingesandt haben.
4. Die Gewinnerin bzw. der Gewinner wird durch das Los während der
Redaktionssitzung der folgenden
Ausgabe des NewsLetters ermittelt.
27
14
37
38
45
49
62
39
55
65
70
71
66
72
73
77
80
56
60
64
76
41
51
59
69
34
47
54
63
33
40
50
53
61
21
25
46
78
81
67
74
79
82
84
85
87
5. Wenn der Jackpot leer ist,
schiesst der Redaktor persönlich US$
20 ein, die ebenfalls nur durch einen
Bezug im ISACA Bookstore bezogen
werden können. Im übrigen äufnet
sich der Jackpot aus den allenfalls
88
7. Der Rechtsweg ist ausgeschlossen. Es wird (normalerweise) keine
Korrespondenz geführt; Bemerkungen sind im Forum des NewsLetters
anzubringen.
„verfallenen“ Preisen, die das
ISACA Switzerland Chapter für die
Kreuzworträtsel gemäss den Punkten
Dieses Rätsel ist auf englisch und hat
mit dem Schwerpunktthema dieser
1 und 4 vorstehend ausgesetzt hat.
6. Der Jackpot kann durch alle
Löser geleert werden, welche das
Nummer zu tun. Autor ist der Redaktor. Lösungen, Kommentare und
Reklamationen sind an ihn zu
richtige Lösungswort einsandten und
richten.
gleichzeitig zusätzlich die (verbor-
zogen werden, wenn mindestens fünf
richtige Lösungen eingegangen sind.
Wenn weniger als fünf richtige
gene) Besonderheit des jeweiligen
Kreuzworträtsels erkannten und als
„Erklärung“ richtig der Redaktion
Lösungen eingegangen sind, wird
der Gewinnbetrag einem Jackpot
meldeten. Bei mehreren richtigen
Erklärungen entscheidet das Los anlässlich der Redaktionssitzung.
18
20
29
44
58
11
16
24
36
57
10
15
32
43
83
9
19
Ein(e) Gewinner(in) kann nur ge-
weitergegeben.
8
31
52
86
7
28
48
75
6
23
35
Kreuzworträtsels
Bezügen beim ISACA Bookstore
5
18
30
68
Switzerland Chapters einen Preis von
$US 50 aus.
2. Der Preis kann nur in Form von
4
13
26
Reglement des ISACA
1. Das ISACA Switzerland Chapter
setzt für jedes ISACA Kreuzworträtsel im NewsLetter des ISACA
3
12
Ich wurde verschiedentlich ange-
ten Regeln seien, und was die Minimalteilnehmerzahl für einen Gewinn
sei, usw. Ich nehme diese Bemer-
2
Across: 1 were Down Under long
before the Brits (pl); 5 shin bone; 8
no better or worse (pl); 12 business
representative; 14 oil center on the
Caspian Sea; 16 article (it); 17 hea-
The ISACA Crossword Puzzle
venly being; 18 choice; 22 between
first reason for the first CAAT
Lösung
one of 25 down and sampling a
(pl); 23 small metric unit (abbr); 25
Rundschreiben
CAAT process; 23 Al Capone
American currency (pl); 28 she (fr);
claimed it was theirs; 24 roam; 25
31 the opposite of 18 across; 33 to
act; 26 attribute of French nobles; 27
half the globe; 29 not pro; 30 internal
revenue bond (abbr); 32 Egyptian
(lat); 36 a handy tool for a CAAT;
37 male first name; 38 wander
sun god; 34 baseball position (abbr);
35 American top university; 37 type
of data collection (abbr); 40 capital
aimlessly; 39 engine; 41 reddish
substance; 43 middle of the road;
45 being able to; 46 international
Kreuzworträtsel
1/02:
Gemäss Reglement kein Gewinner,
da nur vier Einsendungen. Im Jackpot befinden sich US$ 100! Die
Detektivarbeit dieser Nummer hat
übrigens mit dem Alphabet zu tun.
aviation team (abbr); 54 often used
of Timor; 42 German software giant;
starting position for a sample; 55
Waagrecht: 1 Orwell; 5 insourcing; 12
44 not according to the rule; 47
finger ornament; 58 to be seen on
eh; 13 ola; 15 Sold; 16 rieche; 17 aer; 19
department of France; 48 oblong; 49
bathroom doors; 63 caress; 64
Aphrodite’s Roman counterpart; 65
Waadt; 21 hell; 22 Einbeeren; 25 Clown;
row; 67 unusual; 70 flower vessel
ii; Bonn; 35 eee; 28 Stein; 42 sss; 43
(pl); 71 music theatre; 72 two equal
consonants; 73 physical exercise; 76
open item (abbr); 79 Swiss painter;
80 replica of the country on paper;
81 Boston’s underground ("the man
who never returned"); 82 French Ltd;
83 British oil giant; 85 (ill) famous
horse racing event (abbr).
knight; 46 RNR; 47 Huette; 49 Uz; 50
Tennessee Williams’ felt as if on a
hot tin roof; 50 rodent; 51 cultivated
land; 52 town in Morocco; 53 program to produce reports; 56 total
sales administration (abbr); 57 the
first o is missing for this sculpture;
59 beam of light; 60 zip from the
Italian part of Switzerland; 62 if
preceding a Spanish river suddenly
becomes liquid; 63 preposition; 66
Persian flute; 68 determinative for
the analyses of stocks and debtors;
Auslagerung; 51 Li (chin. Name); 52
meiste; 54 ein; 55 Sattel; 57 eng; 58
eggen; 60 die; 61 (A)nton; 62 Ax; 63 Bo;
66 Sn; 67 Err; 68 al; 69 bel; 71 Brest; 73
Ostfriese; 76 Ster; 77 amant; 79 let; 80
braten; 81 Raet; 83 ABS; 84 En; 86
Beinreiten; 87 Tanz.
Senkrecht: 1 Oz; 2 Weill; 3 ehelos; 5 IA;
69 exaggeration (pl); 74 castrated
bull in reverse; 75 king (it); 76 one
of Juda’s sons; 77 unclosed; 78 enslaved debtor; 80 Shakespeare once
had this night’s dream; 82 act of
Die Lösung liegt in den markierten
Feldern. Dieses Wort ist auf einer
Postkarte zu senden an M.F.
Bretscher, Oberrenggstrasse 8, CH8135 Langnau a/A bis 30. Mai 2002.
bringing in order (pl;) 83 chemical
Lösungen werden auch entgegengenommen unter der Adresse
mbretscher@kpmg.com.
sign of Barium; 84 for fear that; 85
bed and breakfast hotel; 86 fruit (pl);
87 once more; 88 dangerous parasite.
26 Ohr; 27 on; 28 pea; 30 oh; 31 de; 33
6 Speer; 7 US; 8 rowen; 9 Clan; 10 Ida;
11 get; 14 lei; 16 Rechenzentrum; 17
Abhaengigkeit; 18 re; 20 dienstleisten;
23 no; 24 roi; 28 Post; 29 anseilen; 30
Oekumene; 32 es; 33 in; 36 Ei 37 chute;
39 traeg; 40 Irene; 41 lunar; 44 Gas; 45
Tse(tse); 47 Hus; 48 EGT; 53 Igor; 56
T(ouch( D(own); 58 ex; 59 NB; 62 alt;
64 Oberst; 65 Westen; 68 Aster; 69
Brett; 70 le; 72 Stenz; 73 Onan; 74 FL;
Down: 2 flag; 3 today (it); 4 where
75 SBB; 77 Alb; 78 Ari; 82 te; 83 an; 85
the dagger belongs; 5 two equal
consonants; 6 consecrate; 7 Lin-
NN.
coln’s nickname; 8 if this follows an
H: a Trojan hero; 9 archer’s requisite; 10 French river and department; 11 Spanish consonant; 13 this
car must be Dutch; 15 American
field measure (pl); 17 the typical
CAAT (two words); 18 evening
(fr); 19 portable PC; 20 Liliuokalani’s Aloha; 21 probably the
19
Express Line
– General subject matter covered
(not internal operations-specific
training)
Express Line
A Word from the Chair
matter experts, and the results are
being reviewed by the Credentialing
The Membership Board has com-
Task Force. Once the job analysis is
finalized, it will be distributed to a
sample of information security pro-
pleted evaluating the chapter web
sites. Those sites awarded a “gold”
rating will receive the privilege of
placing an ISACATM award notation on their home page. Sites that
attained this rating (85 or higher out
of 100 possible points) include Germany, Houston (Texas, USA), London (UK), Los Angeles (California,
USA), Puget Sound (Washington,
USA), Pune (India), Seoul (Korea),
Victoria (BC, Canada) and Willamette Valley (Oregon, USA).
fessionals for further review and
domain weighting. Members who are
practicing information security professionals and who wish to participate in this review should contact
Terry Trsar at ttrsar@isaca.org.
Education Update
Assist ISACA in Its New
Education Board Project
Credentialing Task Force
Update
The Credentialing Task Force has
recently completed the development
of a draft job analysis for a new
information security credential, de-
ISACA’s Education Board has initiated a project to collect, summarize
and report on the tasks and responsibilities of information systems (IS)
auditors and the ways in which they
are trained to perform their duties.
The first phase of the project will
signed to provide executive management with assurance that those
earning this designation have the re-
focus on IS auditors who have just
entered the field (with no prior audit
experience), and subsequent phases
quired knowledge to provide effective security management and consulting. It will be business-oriented
will focus on different levels of IS
auditors up to those individuals who
have reached an IS audit manager
and focused on information risk
management while addressing management, design and technical se-
status.
curity issues at a conceptual level.
This credential will be directed at
information security management,
asking ISACA members and chapters to assist in this project by
collecting and providing the fol-
which differentiates it from other IT
security credentials oriented toward
testing specialist-based skills.
lowing information as it pertains to
their organizations:
The draft job analysis was distributed to a select group of subject
n General
At this time, the Education Board is
n Copies of IS auditor job descrip-
tions
20
IS auditor
schedules that include:
training
– When in the experience cycle, or
at which audit level, information is
covered
n How it is presented (on the job, at
internal training, at external training)
Estimates of average number of
years until an IS auditor attains:
– Senior auditor level
– Supervisor auditor level
– Manager auditor level
Members willing to share such
information for use in this project
should send it to Terry Trsar, chief
professional development officer of
ISACA, at: 3701 Algonquin Road,
Suite 1010; Rolling Meadows,
Illinois USA 60008;
Phone: +1.847.590.7451;
Fax: +1.847.253.1443;
and e-mail: ttrsar@isaca.org.
Onsite Training Available
ISACA offers onsite training. The
Professional Seminar Series (PSS)
courses and IS Audit and Control
Training topics are available for
onsite presentation. ISACA’s costeffective onsite training allows
organizations the opportunity to provide quality training while promoting
professional growth. Members interested in receiving further information
or scheduling an on-site presentation
should
contact
Karen
Lamb
+1.847.253.1545,
klamb@isaca.org.
ext.
452,
or
DACH-News
sammlung wurden zuerst die Ver-
DACH-News
einsaktivitäten des letzten Jahres
präsentiert. Darauf folgte eine Vorstellung der für 2002 angedachten
D: Gründung Arbeitskreis
IT-Revision in Frankfurt
am Main
Im Januar dieses Jahres hat sich in
Frankfurt am Main ein Arbeitskreis
IT-Revision etabliert. Zur Zeit bilden
sieben Mitglieder des deutschen
ISACA-Chapters den Kern der Arbeitsgruppe. Das Team besteht gegenwärtig aus Innenrevisoren aus
dem Finanz- und Telekommunikations-Dienstleistungssektor.
Der Arbeitskreis hat sich die Aufgabe gestellt, Prüfprogramme (alias
„Checklisten“, „Detailed Audit Programmes“, „Technical Audit Guidelines“) zu erarbeiten. Diese umfassenden und detaillierten Arbeitsanweisungen zur Durchführung einer
Prüfung werden den ISACA-Mitgliedern über die Web-Seiten des
deutschen Chapters zur Vefügung
gestellt.
Wenn Sie Interesse am Meinungsaustausch mit Kollegen aus dem Arbeitsgebiet IT-Revision haben und
Sie akiv im Arbeitskreis mitwirken
wollen, wenden Sie sich bitte für
weitere Auskünfte an
Heinrich.Geis@DeutscheBoerse.com
oder rufen Sie an: 069-2101-5149.
Heinrich Geis
D: Aktivitäten des German
Chapters
Das herausragende Ereignis der letzten Monate war, wie jedes Jahr zu
dieser Zeit, die Mitgliederversammlung des ISACA German Chapters
am 22. März 2002 im Frankfurter
Hilton Hotel, das einen sehr schönen
Ort für die Mitgliederversammlung
Die erste Aufgabe der Arbeitsgruppe
ist das Erstellen eines Prüfungsleitfadens für das Datenbanksystem
selbst sowie das Rahmenprogramm
darstellte.
DB2 in IBM-Großrechner-Umge-
Mehr als 40 Mitglieder haben die
Mitgliederversammlung in diesem
Jahr besucht. Am Vormittag startete
bungen (S/390, z/OS).
Die Mitglieder des Arbeitskreises
treffen sich monatlich in der Frankfurter Innenstadt, um Arbeitsergebnisse auszutauschen und um neue
die Veranstaltung zuerst mit einem
Vortrag von Herrn Olaf Riedel zum
aktuellen Thema „Datenzugriff der
Aufgaben zu vereinbaren.
Finanzverwaltung (GDPdU)“, bei
dem bereits während des Vortrags
Fragen besprochen und diskutiert
Es ist das Anliegen des Gründungsteams, den Arbeitskreis um weitere
wurden. Dies setzte sich auch beim
folgenden Mittagessen im Hotel fort.
Mitglieder zu erweitern, so dass auch
andere Aufgaben angegangen werden können.
Auf der am frühen Nachmittag
beginnenden
Jahresmitgliederver-
Vorhaben sowie die Aufnahme und
Diskussion von Anregungen der
anwesenden Mitglieder. Der bisherige Vorstand wurde für das abgelaufene Jahr entlastet und ein neuer
Vorstand gewählt. Anders als in den
letzten Jahren wurde nicht der gesamte Vorstand im Amt bestätigt,
sondern es kam zu einigen Neubesetzungen. Der neue Vorstand ist auf
den Seiten des German Chapters
unter www.isaca.de wiederzufinden.
Erstmals in der Geschichte unseres
Vereins haben wir mit Frau Thelemann eine Vereinspräsidentin an
unserer Spitze. Weitere Mitglieder
im Vereinsvorstand sind die Herren
Geis, Gröning, Safaridis, Schneider,
Struckmeyer und Wojtyna. Das Protokoll der Mitgliederversammlung
wird demnächst noch separat an alle
Mitglieder versandt.
An dieser Stelle möchten wir natürlich auch unseren ausgeschiedenen
Vereinsvorständen Herrn Loy (bisher: Präsident) und Herrn Dr. Hahn
(bisher: Publikationen) danken.
Beide haben den Verein viele Jahre
als Vorstände begleitet und mitgestaltet. Ohne ihren Einsatz und ihr
Engagement wäre dieser Verein
sicherlich nicht so erfolgreich, wie er
es heute ist. Herr Loy, der seit 1990
dem ISACA German Chapter angehört, war langjähriger Präsident des
German Chapters und hat in seiner
Amtszeit maßgeblich mitgeholfen,
das German Chapter zu einem erfolgreichen und funktionierenden
Berufsverband aufzubauen.
21
DACH-News
Die Mitgliederentwicklung mit mehr
als 500 Mitgliedern sowie die Kas-
n Herr Bernhard Hamberger von
sensituation des Vereins sind sehr
erfreulich. Dies ermöglicht dem
German Chapter auch die Unter-
GV einen interessanten Vortrag zum
Thema CAATs.
stützung aktiver regionaler Arbeitsgruppen. Weitere Informationen zu
den einzelnen Arbeitsgruppen finden
sich unter www.isaca.de oder lassen
sich über Herrn Wojtyna erfragen.
Die diesjährigen CISA Vorbereitungskurse des German Chapters
werden in Hamburg und Frankfurt ab
dem 6. April stattfinden. Ihre Struktur wurde vollständig überarbeitet
und sie werden dieses Jahr erstmals
in der Form von Wochenendseminaren an jeweils zwei Wochenenden
angeboten. Abschließend wird ein
CISA Testexamen als Generalprobe
am 25. Mai in Frankfurt angeboten.
Weitere Informationen auch für
Nachzügler sind unter www.isaca.de
zu finden.
Zum Schluss möchten wir noch alle
Mitglieder dazu auffordern, den
NewsLetter verstärkt als Basis für
den Wissens- und Erfahrungsaustausch zu nutzen sowie sich in den
erwähnten Arbeitsgruppen zu engagieren, da der Berufsverband letztlich von den Aktivitäten seiner Mitglieder lebt.
Ingo Struckmeyer
Ernst & Young hielt im Vorfeld der
n Ein Hauptthema während der GV
Die ISACF (Information Systems
waren die Rücktritte von drei ver-
Audit and Control Foundation)
wurde im Jahre 1976 gegründet, um
grossangelegte Forschungsanstren-
dienten Vorstandsmitglieder. Esther
Gsell, Michael Pongratz und Peter
Steuri wurden unter Verdankung der
geleisteten Arbeit mit viel Lob und
Geschenken aus dem Vorstand
ISACA verabschiedet. Neu in den
Vorstand wurden Monika Josi, Paul
Wang und Bruno Wiederkehr gewählt. Monika Josi wird den Bereich
Kommunikation (NewsLetter, WebPage und Publikationen) von Esther
Gsell übernehmen. Bruno Wiederkehr widmet sich dem Bereich
Marketing. Ziel dieses Bereiches ist
es, die Anliegen von ISACA an
Schulen und Anlässen besser bekanntzumachen und zu verkaufen.
Paul Wang wird die Westschweiz im
Vorstand ISACA vertreten und für
die Kollegen der Romandie als Ansprechpartner zur Verfügung stehen.
n Im Anschluss an die GV wurden
die Teilnehmer von Urs Fischer über
die Fortschritte im Bereich COBIT
informiert.
n Die Anwesenden wurden an-
22
dieser Tätigkeit resultieren Produkte,
die für Personen im Bereich IT
Governance, Control, Assurance und
Security, von Nutzen sind. ISACF
hat sich zum Ziel gesetzt, die Führungsrolle in diesem Markt zu übernehmen und IT Management und
Benutzer über die kritische Rolle von
IT Kontrollen in ihren Unternehmungen zu informieren. Zu den
wichtigsten Produkten von ISACF
gehören Control Objectives for Net
Centric Technology, Schriften im
Bereich e-commerce Security, und
natürlich COBIT. Ein weiterer Schritt
war die Gründung des IT Governance Institutes im Jahre 1998.
Gesponsert wird die Stiftung von
Firmen, Regierungen, Mitgliedern
und Chaptern von ISACA – und
somit auch von UNS! An der Generalversammlung des ISACA Switzerland Chapters vom 14. März 2001
Zuletzt noch eine Ermunterung an
alle Abwesenden: Bitte nutzt doch
die Möglichkeit, Kollegen zu treffen
wurde dem Vorschlag zugestimmt,
US$ 5000.– für Forschungsprojekte
zur Verfügung zu stellen. Innert
und Eure Erfahrungen auszutauschen. Die alljährliche GV bietet
dazu die beste Möglichkeit.
Jahresfrist haben wir diesen Betrag
ISACF überwiesen, und zwar für das
Projekt: Application and Business
Continuity in an e-commerce environment. Dieses Projekt befasst
Monika Josi
2002 in Bern wurden den Anwesenden wiederum einiges geboten:
gungen zur Erweiterung des Wissens
und Werterhaltung von IT Governance und Control zu betreiben. Aus
schliessend wiederum zum Mittagessen eingeladen.
CH: News von der ISACA
GV vom 20. März 2002
An der ISACA GV vom 20. März
CH: Das Switzerland
Chapter spendet für die
IT-Forschung
sich nebst den herkömmlichen Vorkehrungen zur Minimierung des
Ausfallrisikos und entsprechenden
Massnahmen, mit spezifischen Fra-
DACH-News
gen von e-commerce continuity im
Unterschied zu traditionellen Prozessen. Im Speziellen geht es um die
Verfügbarkeit der e-commerce Infrastruktur wie z.B. Public Key Infrastructure, Certificate Authorities und
Internet Service Providers.
Wir dürfen auf Resultate gespannt
sein.
Daniela Wüst, Präsidentin ISACA
Switzerland Chapter
Eine Revisorin, die hielt sich ein Dutzend voll knallrote Katzen.
Beim Kunden, da taten sie alle Möbel und Bücher zerkratzen.
In einem Kurs hatte die Dame gehört über CAATs,
Und prompt diesen Ausdruck verwechselt mit CATs.
Der saure Kunde schlägt Dame und Katzen auf all ihre Tatzen.
A man near Melbourne was pestered by one or two rats.
He therefore acquired some enormously vigorous cats.
Spelling was not his long suit Down Under,
The computer auditors are starting to wonder:
“We never believed one could beat vermin with CAATs.”
Un réviseur voyant un ordinateur profondément gratte
Sa tête et se dit : « Pour maîtriser ça, il me faut CAAT. »
Un jour, un paysan lui vendait une chatte
Avec deux oreilles et plusieurs pattes.
Le réviseur ne se souvient ni du paysan ni de la date.
23
News aus den Interessengruppen
News aus den Interessengruppen
IG SAP R/3
Monika E. Galli Mead
Eidg. Finanzkontrolle
IG e-business
IG Anwendung von COBIT
Leitung a.i.:
Leitung a.i.
Rolf Merz
Ernst & Young AG
Brunnhofweg 37
Rolf Merz
Ernst & Young AG
Brunnhofweg 37
Fax. +41 31 323 1101
monika.galli@efk.admin.ch
Postfach 5032
3001 Bern
Tel. +41 58 286 66 79
Postfach 5032
3001 Bern
Tel. +41 58 286 6679
Letzte Sitzung: Mittwoch, 28. No-
Fax. +41 58 286 68 27
rolf.merz@eycom.ch
Fax. +41 58 286 6827
rolf.merz@eycom.ch
Monbijourstrasse 51a
3003 Bern
Tel. +41 31 324 9495
vember 2001, bei der Schweizerischen Nationalbank, Zürich
Traktanden:
n Umfeld bei SAP, Datenbank,
Schnittstellen
Nächste Sitzung: Mai 2002 (genauer
Termin wird mit den Teilnehmern
noch vereinbart), E&Y, Zürich
Traktanden:
Die IG soll im Mai/Juni 2002 reaktiviert werden. Interessenten melden sich bitte bei Rolf Merz.
n Entwurf Business Case
IG Romandie
Vacant : touts personnes intéressées
à participer ou animer un groupe de
travail ou tous ceux qui aimeraient
proposer un thème de réflexion
peuvent s’annoncer auprès de M.
Paul Wang.
paul.wang@ch.pwcglobal.com
SAP-
n Swiss Infosec Kurse: Erfahrun-
AK’s Revision und Wirtschaftsprüfung
n SAP und AIS AuditTool News,
Max F. Bretscher
KPMG Fides Peat
Badenerstrasse 172
8004 Zürich
Tel. +41 1 249 2106
Fax. +41 1 249 3017
bretscher_max@kpmg.ch
Letzte Sitzung: Die IG tagte am 8.
Februar 2002 mit dem Thema des
Glossariums. Es befindet sich auf
dem „Zirkulationsweg“ bei der IT in
Bearbeitung.
Nächste Sitzung: 14. Mai 2002 vor-
aussichtlich in Zürich. Mögliche
Themen (neben Glossarium):
n Sub-Outsourcing
n Internet-Outsourcing
n Outsourcing der IT-Revision
24
dem
n Neues vom Jahresmeeting SAP-
IG Outsourcing/
Insourcing
n Präsentation/Besprechung der
Business Cases
aus
Arbeitskreis Revision
gen
n Entwurf Management Präsenta-
tion
n Neuigkeiten
Erfahrungen und Tips
n Diskussion und Verschiedenes
Nächste Sitzung: Termin noch offen.
Interssenten melden Sich bitte bei
der IG-Leiterin.
News aus den Interessengruppen
IG MIS/EIS
der jeder Teilnehmer seine Dokumentation führt und kurz kommen-
Leitung:
tiert.
n Vertraulichkeitserklärung: Unter
den Teilnehmern wurde absolute
Daniel Oser
Ernst & Young AG
Badenerstrasse 47
Vertraulichkeit
vereinbart.
Ein
schriftliches Formular soll dies per
Unterschrift bezeugen.
Postfach 5272
8022 Zürich
Tel. +41 58 286 34 39
n Entwicklungsmethoden: Es wur-
Fax. +41 58 286 32 76
daniel.oser@eycom.ch
den die vier verschiedenen Entwick-
Letzte Sitzung: Die letzte Sitzung
fand am 12. März 2002 bei Ernst &
Young am Bleicherweg statt.
Folgende Teilnehmer waren anwesend:
n Eric
lungsmethoden besprochen: BottomUp, Top-Down, Virtual und Parallel.
Für die Bottom-Up- und Top-DownMethode werden die Mitglieder auf
das nächste Mal die Risiken und
eventuelle Kontrollziele definieren.
Nächste Sitzung: Am 7. Mai 2002,
Young AG
bei Ernst & Young, Bleicherweg 21,
8022 Zürich, um 09.15 bis ca. 13.00
(bitte beim Empfang anmelden).
Traktanden:
n Reinhard Höllstin, UBS AG
n Review Glossar
n Daniel Oser, Ernst & Young AG
n Review Literaturliste
n Herbert Stauffer, Berata AG
n Besprechung und Definition der
Baumgartner,
Young AG
Ernst
&
n Bernhard Hamberger, Ernst &
Als weiterer Interessent hat sich
Marc Bucher, Ernst & Young AG
gemeldet. Weitere Mitglieder sind
stets herzlich willkommen!
vorbereiteten Risiken und Kontrollziele
n Diverses
Folgende Themen wurden besprochen:
n Glossar: Eine Vorlage wurde an
die Teilnehmer verschickt und wird
nun bis zum nächsten Mal von jedem
Teilnehmer ausgefüllt. Eine Konsolidierung soll anhand der nächsten Sitzung stattfinden. Es ist geplant das
Glossar in seiner Endversion (PDF)
den ISACA-Mitgliedern zur Verfügung zu stellen.
n Literaturliste: Für einen besseren
Überblick über vorhandene Unterlagen, Bücher Artikel, Links, bereits
bestehende Audit Programme, etc.
soll eine Liste aufgestellt werden, in
25
Veranstaltungen
Veranstaltungen
Hacking Your Own Website
15./16. April 2002
London, 2 Tage, MIS
Auditing and securing Microsoft SQL Server
16./17. April 2002
Manchester, 2 Tage, e-tec
Testing Firewalls and Network Perimeter Security
17./18. April 2002
London, 2 Tage MIS
Auditing and securing ORACLE systems
18./19. April 2002
Manchester, 2 Tage, e-tec
Auditing internet and e-commerce security
30. April – 2. Mai 2002
Manchester, 3 Tage, e-tec
Internet Security Lab
13.–15. Mai 2002
Rapperswil, 3 Tage, ISACA CH
Informationstechnologie für Wirtschaftsprüfer und Finanzrevisoren
13.–16. Mai 2002
Zürich, 3 Tage, ISACA CH
Finanzprüfung SAP R/3: Wie sieht das Arbeitsprogramm aus?
29. Mai 2002
Audit financier de SAP r/3 : Quel est le programme de travail?
Bern, 1 Tag,
ISACA CH/Treuhand-Kammer
Corporate Governance
4. Juni 2002
Zürich, 1 Tag, Treuhand-Kammer
Effektiver Einsatz kryptographischer Sicherheitsmechanismen
5.–7. Juni 2002
Balsthal, 3 Tage, ISACA CH
ACTI 2002 : Maîtrise de la qualité et des risques des systèmes d’information
26./27. Juni 2002
Paris, 2 Tage AFAI
International Conference
7.–10. Juli 2002
New York, 4 Tage, ISACA intl.
SAP R/3 Workshop für Wirtschafts- und Informatikprüfer
13.–16. August 2002
Stuttgart, 4 Tage, ISACA CH
Kampagne für Security Awareness
19. August, 2. und 16.
September 2002
Zürich, 3 Tage, ISACA CH
26
Veranstaltungen
Kontaktadressen
Veranstalter
Der NewsLetter empfiehlt folgende
Veranstalter (weitere Kurse und
Unterlagen direkt anfordern):
AFAI
Tel. +33 1 55 62 12 22
afai@afai.asso.fr
www.afai.asso.fr
advanced technology seminars
Grundgasse 13
CH-9500 Wil
Tel. +41 71 911 99 15
Fax. +41 71 911 99 16
Maurer@inf.ethz.ch
Hochschule für Technik Rapperswil
Institut für Internet Technologien
und Anwendungen
Oberseestrasse 10
8640 Rapperwil
Tel. +41 55 222 41 11
Fax. +41 55 222 44 00
IIR-Akademie
Ohmstr. 59
D-60468 Frankfurt/Main
Tel. +49 69 7137 69-0
Fax. +49 69 7137 69-69
iir.academie@iir-ev.de
ISACA CH
Kurssekretariat
c/o. Bitterli Consulting AG
Konradstr. 1
8005 Zürich
Tel. +41 1 440 33 60
Fax. +41 1 440 33 61
kurse@isaca.ch
www.datenschutz.ch
3701 Algonquin Rd #1010
USA_Rolling Meadows IL 60008
e-tec Security
Tel. +1 847 253 15 45
PO Box 54
Fax. +1 847 253 14 43
www.isaca.org
info@a-tecsecurity.com
Euroform Deutschland GmbH
Hans-Günther-Sohl-Strasse 7
D-40235 Düsseldorf
Tel. +49 211 96 86 300
Fax. +49 211 96 86 509
info@euroforum.com
Playhouse Yard P.O. Box 21
GB-London EC4V 5EX
Tel. +44 171 779 8944
Fax. +44 171 779 8293
www.misti.com
office@hsr.ch
Datenschutzbeauftragter des Kantons
Zürich
IT-Sicherheitsberatung und
-Revision
Andrea Carlo Mazzocco, CISA
Kurvenstrasse 31
CH-8090 Zürich
Tel. +49 1 259 46 08
Fax. +49 1 259 51 38
andreacarlo.mazzocco@dsb.zh.ch
Wilmslow Chesire SK9 6FU
United Kingdom
MIS Training Institute
Nestor House
ISACA USA
MediaSec AG
Tägernstrasse 1
8127 Forch/Zürich
Tel. +41 1 360 70 70
Fax. +41 1 360 77 77
it@mediasec.ch
Treuhand-Kammer
Jungholzstrasse 43
Postfach
CH-8050 Zürich
Tel. +41 1 305 38 60
Fax. + 41 1 305 38 61
ZfU Zentrum für
Unternehmensführung AG
Im Park 4
CH-8800 Thalwil
Tel. +41 1 720 88 88
Fax. +41 720 08 88
info@zfu.c
Marcus Evans
Weteringschans 109
1017 SB, Amsterdam
The Netherlands
Tel. +31 20 531 28 13
Fax. +31 20 428 96 24
www.marcusevansnl.com
27
Veranstaltungen
SAP R/3: Wie sieht das Arbeitsprogramm für einen
Finanzrevisor aus?
SAP R/3: quel est le programm de travail
d’un auditeur financier ?
Sie haben das Zusammenspiel zwischen den Geschäftsprozessen innerhalb der
Firma verstanden. Sie möchten jetzt die automatisierten Kontrollen kennenlernen, die in einem SAP-Umfeld das korrekte Funktionieren dieser Geschäftsprozesse sicherstellen.
In diesem Seminar werden Revisoren Ihnen zeigen, wie sie in ihrem PrüfungsAlltag u.a. folgende Fragen behandeln:
n Welche automatisierten Kontrollen sind in SAP-Basis und in den
verschiedenen Modulen vorgesehen?
n Wie kann man feststellen, dass sie korrekt parametrisiert bzw. während der
ganzen Prüfungsperiode wirksam waren?
n Wie soll man das Spezialthema der Zugriffsberechtigungen behandeln?
n Welche Abschlussberichte sind für die Abstimmungen unumgänglich?
n Welche Hilfsmittel haben sich bei solchen Revisionen bewährt?
Dieses Seminar wird in Zusammenarbeit mit ISACA durchgeführt.
Seminarsprachen sind Deutsch und Französisch.
Vous avez compris comment fonctionnent les processus entre les différents
acteurs de l’entreprise et vous voulez connaître les contrôles automatisés qui
garantissent dans un environnement SAP le bon fonctionnement de ces
processus.
Durant ce séminaire, des réviseurs vous exposeront notamment la manière dont
ils traitent les questions suivantes lors de leurs missions d’audit :
n Quels sont les contrôles automatisés prévus dans SAP-Basis et dans les
différents modules ?
n Comment s’assurer qu’ils sont correctement activés dans un système donné
et vérifier qu’ils étaient en place durant tout la période auditée ?
n Comment aborder la question particulière des droits d’accès ?
n Quels rapports de clôture sont-ils essentiels pour les réconciliations ?
n Quels outils auxiliaires ont-ils fait leurs preuves dans de tels audits ?
Séminaire organisé en collaboration avec I’ISACA.
Langues du séminaire allemand et français.
28
29 Mai/29 mai
Bern/Berne
P. Bitterli, ISACA,
Bitterli Consulting AG, Zürich
M. Huissoud, ISACA,
Eidg. Finanzkontrolle/Contrôle
fédéral des finances Bern/Berne
Veranstaltungen
Call for papers
Auf der Homepage von ISACA
befinden sich zwei Calls for Papers
für Konferenzen zum Thema
Informationssicherheit an der ETH
Zürich:
n 7th European Symposium on Re-
search in Computer Security
ESORICS 2002
October 14–16, 2002
Zurich, Switzerland
Organised by ETH Zurich (Swiss
Federal Institute of Technology) and
IBM Research Division
Held in conjunction with RAID 2002
n RAID 2002
Fifth International Symposium on
Recent Advances in Intrusion
Detection
October 16–18, 2002
Zurich, Switzerland
Organized by Swiss Federal Institute
of Technology and IBM Research
Division
Held in conjunction with Esorics
2002
Weitere Informationen sind auf der
ISACA Homepage oder
SVI/FSI (SVI@inf.ethz.ch)
beim
Wissens
so bringen Sie‘s rüber
Transfer
erhältlich.
Gestaltung von
Schulungsunterlagen
und Präsentationsfolien
www. wissenstransfer.ch
Francesca Lüscher Baglioni
Eidg. dipl. Betriebsausbilderin
Ausserdorf 22, 8235 Lohn
Tel. 052 640 09 47
29
Germany Chapter
Germany Chapter
Vereinsadressen
Arbeitskreise und Facharbeit
Bernd Wojtyna
Geschäftsstelle
ISACA e.V., German Chapter
Eichenstr. 7
D-46535 Dinslaken
Tel. +49 2064 733191
Fax. +49 2064 733192
isaca.dinslaken@t-online.de
WLSGV-Prüfungsstelle
Regina-Portmann-Strasse 1
D-48159 Münster/Westfalen
Tel. +49 251 288 4253 oder
+49 251 210 4539
bernd_wojtyna@gmx.net
Publikationen
Präsidentin
Ingo Struckmeyer
Karin Thelemann
Arthur Andersen WPG StB GmbH
Mergenthaler Allee 10-12
D-65760 Eschborn
Tel. +49 619 699 6488
Fax. +49 619 699 6449
karin.oberle@de.arthurandersen.com
comdirect bank AG
Internal Audit
Pascalkehre 15
25451 Quickborn
Tel. +49 4106 704 1233
Fax. +49 4106 704 1990
ingo.struckmeyer@comdirect.de
Konferenzen
CISA-Koordinator
Georgios Safaridis
D-Hamburg
georgios_safaridis@hotmail.com
wart
Michael M. Schneider
Arthur Andersen WPG StB GmbH
Arnulfstrasse 126
D-80636 München
Tel. +49 89 1269 7176
Fax. +49 89 1269 7180
Norbert Gröning
PwC Deutsche Revision AG
michael.m.schneider@
de.arthurandersen.com
Mitgliederverwaltung und Kassen-
Friedrich-List-Str. 20
D-45128 Essen
Tel. +49 201 438 0
Fax. +49 201 438 1000
Norbert.Groening@
de.pwcglobal.com
Public Relations
Heinrich Geis
Deutsche Börse AG
Neue Börsenstrasse 1
D-60487 Frankfurt
Tel. +49 692 101 5149
Fax. +49 692 101 4396
heinrich.geis@deutsche-boerse.com
30
Homepage ISACA Germany
Chapter:
www.isaca.de
Austria Chapter
Austria Chapter
Vereinsadressen
Kassier
Mag. Helmut Zodl
Vorsitzender (Präsident)
Ing. Mag. Dr. Michael Schirmbrand,
CIA, WP, StB
Europa Treuhand Ernst & Young
Praterstraße 23
1020 Wien
Tel: +43 1 211 70-2831
michael.schirmbrand@at.eyi.com
Stellvertretender Vorsitzender I
(Vizepräsident I)
Dipl.-Ing. Maria-Theresia Stadler,
Österreichische Kontrollbank
Aktiengesellschaft
Strauchgasse 1–3
1010 Wien
Tel: +43 1 531 27-857
maria-theresia.stadler@oekb.co.at
Stellvertretender Vorsitzender II
(Vizepräsident II)
Mag. Josef Renner, StB
GRT Price Waterhouse
Prinz-Eugen-Straße 72
1040 Wien
IBM Österreich
Obere Donaustraße 95
1020 Wien
Tel: +43 1 21145-0
helmut_zodl@at.ibm.com
CISA-Koordinator
Mag. Maria Rieder
Münze Österreich AG
Am Heumarkt 1
1010 Wien
Tel: +43 1 71715-0
maria.rieder@aon.at
Public Relations/NewsletterKoordination
Rolf von Rössing
MA, D.E.s.s, CBCP, MBCI
Europa Treuhand Ernst & Young
Praterstraße 23
1020 Wien
Tel: +43 1 211 70-2812
dk@cos-ag.de
Tel: +43 1 50188-0
E-Mail ISACA Austria Chapter:
office@isaca.at
Sekretär
Homepage ISACA Austria Chapter:
www.isaca.at
Mag. Gunther Reimoser, CISA
Europa Treuhand Ernst & Young
Praterstraße 23
1020 Wien
Tel: +43 1 21170-4113
gunther.reimoser@at.eyi.com
31
Switzerland Chapter
Switzerland Chapter
Vereinsadressen
CISA-Koordinator
Marketing
vakant
Bruno Wiederkehr
Rentenanstalt/Swiss Life
Daniela S. Wüst
Anfragen bitte direkt an die
Präsidentin.
Swiss Re
Mythenquai 50/60
8022 Zürich
Sekretär
c/o Präsidentin
Präsidentin
Tel. +41 1 285 69 36
Fax. +41 1 285 33 69
daniela_wuest@swissre.com
Vizepräsident
Michel Huissoud, CISA, CIA
Eidg. Finanzkontrolle/
Contrôle fédéral des finances
Monbijoustr. 45
3003 Bern
Tel. +41 31 323 10 35
Fax. +41 31 323 11 00
Michel.Huissoud@efk.admin.ch
Kassier
Pierre A. Ecoeur, CISA
Thurgauer Kantonalbank
Bankstr. 1
8570 Weinfelden
Tel. +41 71 626 64 61
Fax. +41 71 626 63 60
p.ecoeur@tkb.ch
Ausbildung/Kurssekretariat
Peter R. Bitterli, CISA
Bitterli Consulting AG
Konradstr. 1
8005 Zürich
Tel. +41 1 440 33 60
Fax. +41 1 440 33 61
prb@bitterli-consulting.ch
32
Information & Kommunikation
General Guisan-Quai 40
Postfach 4338
8022 Zürich
Tel. +41 1 284 31 07
Fax. +41 1 284 47 33
bruno.wiederkehr@swisslife.ch
Monika Josi
PricewaterhouseCoopers
Nordstr. 15
8035 Zürich
Tel. +41 1 630 27 82
Fax. +41 1 630 27 55
monika.josi@ch.pwcglobal.com
Adressmutationen bitte hier melden.
Koordinator Interessengruppen
Rolf Merz
Ernst & Young AG
Postfach 5032
3001 Bern
Tel. +41 31 320 61 11
Fax. +41 31 320 68 27
Rolf.Merz@be.Aey.ch
Représentant Suisse Romande
Paul Wang
PricewaterhouseCoopers
Avenue Giuseppe Motta 50
1211 Genève 2
Tel. +41 22 748 56 01
Fax. +41 22 748 53 54
paul.wang@ch.pwcglobal.com
Homepage ISACA Switzerland
Chapter: www.isaca.ch