ERP Security e Audit: un modello per costruire una soluzione automatizzata

Transcript

1 ERP Security e Audit: un modello per costruire una soluzione automatizzata 19 Aprile 2007 Eleonora Sassano

2 Contenuti Evoluzione Sistemi Informativi Impatto sul sistema di controllo interno Obiettivi di controllo IT Controlli applicativi Benefici dei controlli automatici ERP, Sicurezza e nuove modalità di Audit I controlli di sicurezza ERP Segregazione delle funzioni Nuove sfide per l audit 2

3 Obiettivi Illustrare l evoluzione degli attuali sistemi di controllo come conseguenza dello sviluppo dei nuovi sistemi informativi gestionali Sensibilizzare le aziende e i loro manager verso uno sviluppo dei sistemi di controllo più efficiente ed efficace Comprendere l importanza che hanno i controlli automatici nel raggiungimento di tale obiettivo Analizzare vantaggi derivanti dall utilizzo di strumenti informatici come supporto all attività di Audit in ambito ERP, non solo come miglioramento del sistema di controllo interno ma anche come strumenti in grado di far nascere nuove potenzialità e metodologie di controllo 3

4 Evoluzione dei sistemi informativi Crescente turbolenza Innovazione infrastrutture ambientale tecnologiche Maggiore competitività del mercato Evoluzione del Business Necessità di risposte tempestive Cambiamenti organizzativi, nuove responsabilità aziendali Da sistemi operazionali tradizionali a sistemi informativi integrati ERP Necessità di informazioni a supporto di attività decisionali Process People Technology 4

5 Impatti sul sistema di controllo interno La maggior facilità di accesso alle informazioni e di gestione del dato impone alle aziende e ai loro manager di attivare dei sistemi di controllo, che riducano la probabilità di presenza di dati non affidabili e non aderenti alla realtà economica aziendale. L investimento in sistemi di controllo integrati in ambito informatico parte da una corretta analisi del sistema ERP presente in azienda, congiunta all individuazione delle aree a rischio in modo tale da Sviluppare Sviluppare dei dei controlli controlli che, che, essendo essendo integrati integrati a a loro loro volta volta nella nella configurazione configurazione del del sistema sistema informatico, informatico, diventano diventano automatici automatici e e non non più più quindi quindi affidati affidati unicamente unicamente al al controllo controllo umano umano Lesson Lesson Learned Learned from from SOX SOX 70.0% Financial Systems 70.0% Financial Systems and Procedures and Procedures (ERP) (ERP) 29.6% 29.6% Personnel Personnel Issues Issues (Segregation of (Segregation of Duties) Duties) 6.9% 6.9% Documentation Documentation Issues Issues 4.8% 4.8% Revenue Revenue Recognition Recognition 3.5% IT Systems and 3.5% IT Systems and Controls Controls 5.1% 5.1% Other Other Fonte: Compliance week 2004 Fonte: Compliance week 2004 Tale automaticità, riducendo notevolmente il tempo impiegato in precedenza nell attività di verifica, permette una gestione più efficiente del business e un impiego più efficace del tempo in attività che necessitano realmente della creatività e intervento umano. 5

6 Obiettivi di controllo IT Il sistema di controllo IT è composto da una serie di attività che hanno come oggetto l analisi dei rischi relativi all area IT, sia in termini di infrastrutture che di processi. Sono controlli generici, relativi a presenza di procedure e documentazioni organizzative: si fa per esempio riferimento alle procedure di acquisizione e manutenzione dei software e sistemi. General General Controls Controls Program Program development development Program Program changes changes Program Program operations operations Access Access control control Control Control environment environment Significant Significant Accounts Accounts in the in Financial Statements Balance Sheet Sheet Application A Income Statement SCFP Financial Applications IT Infrastructure Services Database Operating System Network Notes Other Business Processes / Classes of Transactions Process A Process B Application B Process C Application C Analisi degli applicativi, per monitorare accessi a sistema, autorizzazioni, processi operativi e corrette definizioni di mansioni all interno dei sistemi stessi. Application Controls Accuracy Completeness Validity Authorization Segregation of duties etc... Fonte: IT Governance Institute IT Control Objectives for Sarbanes-Oxley, April

7 Controlli Applicativi Alcuni di questi controlli possono essere parzialmente o totalmente automatizzati: maggiore automaticità si riscontra nelle autorizzazioni e accessi alle transazioni e al sistema, controllo su campi e dati sensibili, gestione delle interfacce, riconciliazione e validazione dei dati, esecuzione di calcoli complessi. Integrità delle operazioni Acceso ai dati in base al principio need to know di ogni mansione e rispetto del criterio della separazione di funzioni e di responsabilità considerate tra loro incompatibili Autorizzazioni ad eseguire determinate operazioni o transazioni sensibili Separazione delle funzioni Sicurezza degli accessi Integrità del dato Controlli Applicativi Validazione del dato Affidabilità Correttezza Completezza delle informazioni, tale da consentire la ricostruzione delle attività svolte Correttezza dei dati elaborati dal sistema Validazione del dato, sia in termini dei singoli dati che di coerenza dell insieme dei dati (i.e. Nome e Cognome vs. Codice Fiscale) 7

8 Benefici dei controlli automatici Tra i molteplici vantaggi derivanti dall utilizzo dei controlli automatici evidenziamo che: 1. sono più affidabili di quelli manuali 2. facilitano l attività di controllo perché una volta affermata la funzionalità, il rischio è mitigato. Non è quindi necessario controllare tutti dati o usare tecniche di campionamento come avviene invece nei controlli manuali 3. aumentano in maniera significativa anche l efficienza dell attività di auditing interno, in quanto facilitino il controllo sulla tracciabilità del dato e sulle autorizzazioni operative 4. rendono anche più efficace l attività di disegno del controllo, che passa da un accezione puramente ispettiva e di verifica post-errore ad una funzione di prevenzione 8

9 Quanti controlli automatici? Controlli automatici Controlli manuali Costo Controlli automatici Controlli manuali Sostenibilità Non esiste una soluzione migliore nella scelta di quanti controlli automatici configurare e di quanti lasciare alla esclusiva responsabilità umana. Il corretto mix di controlli automatici e manuali dipende da diversi fattori organizzativi e di business. Modificare la struttura del controllo con l adozione di controlli automatici richiede certamente del tempo: sono diversi, infatti, gli aspetti del business da considerare oltre che gli investimenti tecnologici da effettuare. Le organizzazioni dove i controlli automatici danno più valore aggiunto sono quelle che: Svolgono procedure ripetitive che richiedono basso grado di giudizio o intervento umano Utilizzano soluzioni integrate (ERP), cosicché i benefici dell automatismo hanno maggior effetto su processi condivisi 9

10 Contenuti Evoluzione Sistemi Informativi Impatto sul sistema di controllo interno Obiettivi di controllo IT Controlli applicativi Benefici dei controlli automatici ERP, Sicurezza e nuove modalità di Audit I controlli di sicurezza ERP Segregazione delle funzioni Nuove sfide per l audit 10

11 I controlli di sicurezza ERP Le evoluzioni nel panorama normativo congiunte alle pressioni dovute a nuove problematiche di sicurezza informatica hanno causato: Aumento del budget destinato alla review della sicurezza e della Segregation of Duties Crescita della domanda di training per soddisfare le esigenze di un adeguata configurazione in ambito sicurezza su ERP e relativo Audit Nascita di nuovi strumenti per implementare e monitorare la SOD nell ambito dell ERP I trend di mercato confermano la crescita di controlli di sicurezza relativi ai sistemi ERP 11

12 Segregazione delle Funzioni Cambiamenti organizzativi Spostamenti di ruoli Nuove assunzioni Nuove dimissioni Job rotation Nuovi incarichi aziendali TURBOLENZA TURBOLENZA INTERNA INTERNA Difficoltà di controllo delle corrette assegnazioni di responsabilità CONTROLLI AUTOMATICI Principio Need to toknow Evoluzione del mercato Crescita competitiva Aumento organizzazioni complesse TURBOLENZA ESTERNA 12

13 Nuove Sfide per l Audit Molte società non sono ancora pronte ad affrontare le esigenze di un audit rigoroso, efficace ed efficiente sulla sicurezza degli ERP. Sono diversi i fattori che contribuiscono a questa realtà: Vulnerabilità Vulnerabilità Formazione Formazione Sponsorship Sponsorshipe cultura cultura Software Software Soluzioni custom Soluzioni custom Vulnerabilità causate da sistemi ERP complessi Carenza di personale adeguatamente formato sulla sicurezza degli ERP Scarsa attenzione alle tematiche di sicurezza su ERP durante la fase di sviluppo ed implementazione Moduli all interno degli ERP non adeguati per il controllo sulla Security Maggiore richiesta di implementazioni custom che inibisce la standardizzazione di soluzioni in ambito security 13

14 Strumenti a supporto Le Le organizzazioni organizzazioni devono devono seriamente seriamente considerare considerare il il coinvolgimento coinvolgimento di di specialisti specialisti di di controlli controlli applicativi, applicativi, per per assicurarsi assicurarsi un attività un attivitàdi di testing testing efficace efficace ed ed accurata. accurata. Alta specializzazione e presenza di competenze chiave Oltre Oltre all intervento all intervento di di risorse risorse umane, umane, siano siano esse esse esterne esterne od od interne, interne, bisogna bisogna poi poi considerare considerare la la sempre sempre maggior maggior preponderanza preponderanza dell utilizzo dell utilizzo dell informatica dell informatica nell individuazione nell individuazione di di adeguati adeguati sistemi sistemi di di controllo controllo interno. interno. In In ambienti ambienti sempre sempre più piùcomplessi, è infatti infatti necessario necessario il il supporto supporto di di Automated AutomatedTesting Tools, Tools, in grado grado di di migliorare migliorare anche anche l efficienza l efficienza dei dei controlli. controlli. Molti dei sistemi ERP hanno sviluppato strumenti di controllo integrati nell applicazione stessa. Inoltre anche case di software esterne hanno sviluppato strumenti in grado di integrarsi con i diversi sistemi ERP. Esempi di strumenti automatici di controllo conformi a sistemi ERP sono: Applimation, Approva, Consul, SAP GRC e Assure. 14

15 SoD - Approccio Manuale I sistemi ERP hanno per lo più report sulla sicurezza orientati ad assistere i Security Administrator nel validare l accuratezza delle configurazioni di sicurezza Non hanno quindi lo scopo di soddisfare da soli le esigenze di audit ma devono essere utilizzati dagli IT auditor con sufficiente conoscenze e competenze tecniche per estrarre le informazioni per verificare i controlli in ambito security. Molti audit sui sistemi ERP sono attualmente ancora eseguiti seguendo un approccio manuale. Audit Plan Audit Plan Creazione query Creazione query Estrazione informazioni Estrazione informazioni Elaborazione dati Elaborazione dati Individuazione delle transazioni e dei conflitti da analizzare Creazione dei tool di estrazione dati in base alle esigenze informative definite nel piano Utilizzo di strumenti di reportistica Memorizzazione dati in formato elettronico Confronto tra liste e dati estratti con utilizzo di strumenti informatici semplici (es. fogli di calcolo) Analisi manuale dei conflitti SOD per ogni transazione inserita nell Audit Plan 15

16 SoD - Approccio Automatico Sviluppato attraverso l utilizzo di strumenti automatici di reporting, tale approccio rende possibile un audit più accurato e sicuro Analisi oggetti Analisi oggetti autorizzativi autorizzativi Analisi struttura Analisi struttura sistema ERP sistema ERP Progettazione Tool Progettazione Tool Identificazione criteri Identificazione criteri di sicurezza di sicurezza Creazione Query e Creazione Query e Report Report Comprensione, attraverso l analisi delle modalità di assegnazione di oggetti autorizzativi, dei meccanismi di funzionamento del sistema di sicurezza relativo allo specifico sistema ERP sul quale si effettua l audit. Analisi della struttura relazionale del sistema ERP, identificazione le tabelle contenenti informazioni su utenti, ruoli, oggetti autorizzativi e confronto con quelle contenenti la mappatura delle relazioni tra tali entità. Progettazione di un tool dedicato all emulazione della struttura del sistema ERP e descrizione dell attuale configurazione di sicurezza attraverso la produzione di report, per comprendere i meccanismi di funzionamento dell attuale sistema di sicurezza. Identificazione dei criteri di sicurezza che permettono l accesso a transazioni critiche o generano conflitti SOD. Creazione di query e report atti ad identificare utenti con potenziali conflitti di SOD. Obiettivo non è sostituire completamente l attività manuale, bensì fornire agli IT Auditor strumenti capaci di automatizzare in parte il processo di controllo di sicurezza e di ridurre pertanto la complessità, il tempo ed i costi legati ai controlli relativi alla SOD in ambito ERP permettendo un incremento nella qualità dell audit. 16

17 Vantaggi approccio automatico APPROCCIO MANUALE APPROCCIO AUTOMATICO VANTAGGI QUANTITATIVI Maggiore efficienza Processo di audit replicabile e costante Rapida comparazione tra i risultati dei test effettuati VANTAGGI QUALITATIVI Maggior qualità Controllo orientato alla root cause analysis Riduzione dei falsi positivi Facile modifica dello scenario di test e sua riesecuzione Analisi dei conflitti SOD Elaborazione Dati Memorizzazione Dati Estrazione informazioni Predisposizione Query Risoluzione problemi Root Cause Analysis Analisi dei conflitti SOD Memorizzazione Dati Estrazione informazioni Redazione Audit Plan Redazione Audit Plan 17

18 Rischi e svantaggi dei due approcci Svantaggi approccio manuale Svantaggi approccio manuale Molto più tempo rispetto all utilizzo dell approccio automatico Soggetto ad errori umani, a differenza dell approccio automatico I tools di reporting inclusi nei sistemi ERP ed utilizzati in questo tipo di approccio non sono adatti a controlli su larga scala,ma solo a controlli puntuali e/o periodici La creazione di query è una soluzione ad hoc di scarso riutilizzo Approccio manuale Rischi approccio automatico Rischi approccio automatico Un errata configurazione dei test può portare alla mancata individuazione di tutte le violazioni di SOD, o rivelare un alto numero di falsi positivi. Per una corretta configurazione è necessario comprendere la struttura di security e le logiche di funzionamento del sistema ERP Il tool non risolve i problemi di SOD, ma fornisce la lista delle incompatibilità a sistema L analisi da parte di risorse qualificate rimane un componente importante che aiuta a capire le soluzioni di remediation Non tutto il processo di audit viene automatizzato: le fasi di pianificazione dell audit, analisi ed implementazione Approccio automatico TEMPO ERRORI UMANI TOOL LIMITATI CONFIGURAZIONE LIMITI DEL TOOL COMPONENTE UMANA 18

19 Da verifica a monitoraggio continuo In una prima fase, l utilizzo di strumenti informatici ha lo scopo di migliorare il sistema di controllo interno all applicazione, identificando carenze di controllo e relativi rischi, legati a: Accessi sensibili Segregazione delle funzioni In una fase successiva, in ottica di miglioramento continuo, l obiettivo diventa monitorare costantemente l ambiente, passando quindi da una logica detective ad una logica preventive. Il monitoraggio continuo è perseguibile attraverso tool automatici che permettono una gestione efficace ed integrata nei tre seguenti ambiti IT Governance Gestione rischio IT e processi Esigenze normative G Governance R Risk C Compliance 19

20 Governance, Risk & Compliance Governance Risk Compliance Governo e gestione delle informazioni, della documentazione in modo unico e centralizzato, includendo direttive, procedure e regole aziendali. Utilizzo di framework di controllo del rischio definiti su modelli derivanti da best practices e da regole internazionali. Centralizzazione delle informazioni per semplificare il risk management, per aumentare la trasparenza e ridurre i costi associati alle diverse iniziative o filoni progettuali. Individuazione dei rischi sui processi di business dell intera azienda. Supporto alla conformità alle normative ed alle regolamentazioni specifiche di settore. Rilevazione tempestiva di violazioni dei controlli finalizzata ad assegnare la corretta priorità e le opportune azioni correttive. Monitoraggio integrato delle applicazioni e dei processi di business. Fornisce un'analisi dei rischi chiave per il business, dell'azienda, a livello di struttura organizzativa, di processi di business e di infrastruttura IT. Attuazione dei modelli per l identificazione dei rischi finanziari, legali e operativi. Supporto nell analisi delle opportunità di business e nello sviluppare risposte appropriate e tempestive. 20

21 Maturity Model Inconsapevolezza Implementazione frammentaria Consolidamento Eccellenza operativa - Il Management è ignaro dei rischi legati alle deficienze di controllo interno e si concentra maggiormente sulle esigenze del business. - Lo strumento GRC non viene sfruttato nella sua intera potenzialità. - Mancando una visibilità completa della struttura aziendale il management perde le occasioni per catturare e sfruttare le opportunità di business. - Il Management matura la convinzione di dover governare efficacemente il sistema di controllo interno. - Spesso tale convinzione nasce a seguito dell analisi dei costi complessivi legati alla realizzazione di progetti singoli e non coordinati. - E possibile la creazione di un team GRC che dipenda direttamente dal CFO. - Visione generale e condivisa del sistema dei rischio aziendali - Razionalizzazione dei progetti - L azienda è matura per dare luogo ad un cambiamento strategico della propria struttura. - Il tool GRC è integrato all interno dei processi aziendali. - E presente una visione integrata e trasversale di tutti i processi. - La metodologia GRC viene adottata per valutare e comparare ogni singola iniziativa aziendale creando vantaggio competitivo per l azienda stessa. 21

22 Continuous Auditing Attività di auditing effettuata simultaneamente o subito dopo l evento di interesse: è la fase centrale di un processo più ampio: Continuous Monitoring: Meccanismi di reporting tesi ad assicurare il corretto funzionamento dei sistemi Continuous Auditing Continuous Assurance: Fornisce un assurance continua su sistemi e transazioni I benefici sono percepiti su tutto l ambiente di controllo interno e aiuta anche in ambito compliance a normative, in quanto non vengono eseguiti degli audit periodici seguiti da lunghe fasi di remediation ma una continua e più efficace attività di controllo AUDIT CONVENZIONALE CONTINUOUS AUDITING Il Continuous Auditing garantisce un incremento sia quantitativo che qualitativo dell attività di audit e permette l utilizzo di un approccio proattivo, finalizzato alla creazione di valore grazie alla tempestiva rilevazione dei problemi e ad una loro rapida risoluzione da parte del management o dell internal auditing. 22

23 At Protiviti, we believe the companies that most effectively understand and manage their risk are the companies that most often succeed. Or as we like to say For more information please contact: Hernàn Gabrieli Director, Protiviti s.r.l. Phone: