Compliance-Nachweise bei Outsourcing von IT-Aufgaben

Größe: px
Ab Seite anzeigen:

Download "Compliance-Nachweise bei Outsourcing von IT-Aufgaben"

Transkript

1 WI State-of-the-Art Compliance-Nachweise bei Outsourcing von IT-Aufgaben Der Autor Gerhard F. Knolmayer Prof. Dr. Gerhard F. Knolmayer Universität Bern Institut für Wirtschaftsinformatik Engehaldenstraße Bern Schweiz Eingereicht am , nach drei Ûberarbeitungen angenommen am durch Prof. Dr. W. König. 1 Einleitung Beeinflusst vom Fehlverhalten einiger Unternehmen haben sich Gesetzgeber und Regulatoren in den letzten Jahren veranlasst gesehen, teilweise sehr weit reichende Anforderungen an korrekte Unternehmensführung zu formulieren. Die von den Regulierungen betroffenen Unternehmen sollen gesetzliche und behördliche Vorschriften, Richtlinien und interne Vorgaben erfüllen, also compliant sein. Die zugehörigen Nachweise sollen den Stakeholdern des Unternehmens eine höhere Transparenz über den Ablauf wichtiger Prozesse verschaffen und auf diese Weise Risiken reduzieren. Um den neuen Regulierungen entsprechen zu können, müssen die eingesetzten Informations- und Kommunikations (ICT)-Systeme gewissen, in den Vorschriften nicht sehr klar umschriebenen, Anforderungen genügen. Aus diesem Grund finden Compliance-Fragen in IT-Bereichen und die damit eng verbundene IT-Governance neuerdings große Beachtung. In [Hurl06, 11] wird auf Basis einer Umfrage der Anteil der in IT-Bereichen für Compliance-Nachweise aufgewendeten Zeiten auf 34 % geschätzt. Regulations- und Compliance-Fragen sind z. B. in Banken zu einem zentralen Thema der Unternehmensführung geworden. Dieser Beitrag beschäftigt sich damit, wie sich eine Auslagerung von Aufgaben, deren ordnungsgemäße Ausführung nachgewiesen werden muss, auf die Erbringung dieser Nachweise auswirkt. Er zeigt die Notwendigkeit, die Vorlage von Compliance-Nachweisen mit den beauftragten Unternehmen vertraglich zu vereinbaren und beschäftigt sich damit, wie Outsourcing-Dienstleister diese Nachweise erbringen können. Zudem werden die möglichen Auswirkungen verstärkter Regulierungen auf Häufigkeit und Umfang von Outsourcing diskutiert. Betrachtet man die Rechts- und Kommunikationsbeziehungen bei Auslagerung Compliance-relevanter Aufgaben, so kann (in Anlehnung an die kompakte amerikanische Terminologie) zwischen der User Organization (der auslagernden Unternehmung; dem Leistungsbezieher; der zu prüfenden entity ), dem User Auditor (dem Wirtschaftsprüfer der auslagernden Unternehmung), der Service Organization (dem Dienstleister; dem Leistungserbringer) und dem Service Auditor (dem Wirtschaftsprüfer des Leistungserbringers; dem anderen Prüfer ) unterschieden werden [AICP06, xv]. In Abschnitt 2 dieses Beitrags werden Ausprägungsformen von Outsourcing kurz zusammengefasst. Abschnitt 3 verweist auf einige besonders aktuelle Anforderungen an die Unternehmensführung, auf daraus an ICT-Systeme resultierende Vorgaben und auf (Quasi-)Standards zur Erfüllung dieser Vorgaben. Abschnitt 4 beschäftigt sich damit, wie diese Anforderungen bei Kernpunkte Informations- und Kommunikationssysteme sind zu einem zentralen Element von Compliance-Nachweisen und -Prüfungen geworden. Bei Outsourcing Compliance-relevanter Aufgaben bleibt die Verantwortung beim auslagernden Unternehmen und seinem Prüfer. Mehrfachprüfungen der Outsourcing-Dienstleister sollen durch SAS 70 Reports vermieden werden. Insbesondere bei Auslagerung in das Ausland (Nearshoring, Offshoring) können komplexe Rechts- und Kommunikationsbeziehungen entstehen. Ob die zunehmende Regulierungsdichte Outsourcing fördert oder behindert, lässt sich derzeit kaum abschätzen. Stichworte: Compliance, Nearshoring, Offshoring, Outsourcing, Sarbanes-Oxley Act, SAS 70 Reports, Wirtschaftsprüfung

2 Compliance-Nachweise bei Outsourcing von IT-Aufgaben 99 Auslagerung von IT-Aufgaben zu berücksichtigen sind. In Abschnitt 5 wird erörtert, ob Compliance-Anforderungen eine Auslagerung von IT-Aufgaben in das Ausland eher fördern oder bremsen. Abschnitt 6 zieht Folgerungen aus den dargestellten Sachverhalten. 2 Offshoring und Nearshoring als Spezialformen des Outsourcings Unter Outsourcing von Informationssystemen verstehen wir die mittel- und langfristige Auslagerung einzelner oder aller bisher innerbetrieblich erfüllter Aufgaben der Informationsverarbeitung an einen rechtlich unabhängigen Dienstleister [MeKn98, 17]. Die Auslagerung ganzer Geschäftsprozesse (Business-Process-Outsourcing, BPO) ist im betrachteten Zusammenhang dann relevant, wenn auch IT- Prozessschritte betroffen sind. Abschnitt 3 zeigt, dass die Nachweis-Pflichten bei Outsourcing teilweise auf den Leistungserbringer übergehen. Die damit verbundenen Prüfprozesse können in verschiedenen Rechtsordnungen unterschiedlich streng gehandhabt werden, sodass insbesondere bei Auslagerungen in das Ausland [u. a. Mert04; Mert05; MeGW05; AsMV06] die beigebrachten Nachweise kritisch überprüft werden müssen. Erheblich unterschiedliche Rechtsordnungen werden z. B. dann relevant, wenn Aufgaben an in Asien domizilierte IT-Dienstleister (Offshoring) oder in Osteuropa positionierte Leistungserbringer (Nearshoring) ausgelagert werden. Aufsichtsbehörden und Wirtschaftsprüfer haben sich mit der Erfüllung von Compliance-Nachweisen seit längerem auseinandergesetzt. In Verbindung mit dem in den USA 2002 beschlossenen und erstmals 2005 angewandten Sarbanes- Oxley Act (SOX) muss sich eine (auch) die Aufgaben von CIOs thematisierende Wirtschaftsinformatik mit diesem Problemkreis stärker als bisher auseinandersetzen [HeAu06]. Aktuelle Fragen sind: Wird der SOX bewirken, dass Outsourcing generell oder für bestimmte Aufgaben nicht mehr zulässig ist? Erhöht der SOX die Kosten des Outsourcings? Oder reduziert Outsourcing die Kosten der Erfüllung von Compliance-Nachweisen? [MeGa04]. Werden IT-Aufgaben ausgelagert, so leitet sich aus der Forderung nach IT-Governance jene nach Outsourcing Governance ab. Lagert der inländische IT-Dienstleister Aufgaben ins Ausland aus oder wird er von einem ausländischen Unternehmen übernommen, so kann eine vom Leistungsbezieher als inländisches Outsourcing konzipierte Auslagerung zu einer Offshoringoder Nearshoring-Beziehung werden. 3 Compliance-Anforderungen an Informations- und Kommunikationssysteme Dieser Abschnitt gibt zunächst einen Ûberblick über besonders wichtige oder aktuell verschärfte Vorschriften, zu denen Unternehmen Compliance nachweisen müssen. Sodann verweisen wir auf Prozessmodelle, welche den Unternehmen Orientierungshilfen für den Nachweis dieser Anforderungen geben, und auf unterstützende Tools. 3.1 Vorschriften Im Folgenden stehen grundlegende Zusammenhänge, nicht aber die oft subtilen Unterschiede z. B. zwischen internationalen und nationalen Prüfungsstandards, im Vordergrund. Die an ICT-Systeme gestellten Anforderungen unterscheiden sich nach Branchen und Rechtsordnungen. Sie können (wie z. B. Datenschutzvorschriften, unternehmensinterne Regelungen über akzeptablen Umgang mit dem Internet oder Speicherpolitiken für s) unmittelbaren Bezug zu ICT-Systemen aufweisen. Da immer mehr Geschäftsprozesse computergestützt ablaufen, sind ICT-Systeme aber auch mittelbar für den Nachweis der Einhaltung anderer Vorschriften (z. B. der Ordnungsmäßigkeit des Rechnungswesens oder der Qualitätskontrolle) von zentraler Bedeutung. Bei der Prüfung von Jahresabschlüssen besitzt die Prüfung von ICT-Systemen eine zentrale Rolle: Der Wirtschaftsprüfer hat gemäß [IDW02] das IT-Umfeld, die IT- Organisation, die IT-Infrastruktur, die IT- Anwendungen, IT-gestützte Geschäftsprozesse, das IT-Ûberwachungssystem sowie das IT-Outsourcing zu prüfen. Auch die interne Revision, welche nach [AICP06, 1] u. a. die Compliance mit gesetzlichen und regulatorischen Vorschriften überprüfen muss, konzentriert sich immer mehr auf ICT-Systeme. Auf spezifische Prüf-Methoden und Vorgehensweisen kann an dieser Stelle nicht eingegangen werden; detaillierte Informationen dazu vermitteln u. a. [Phil98; Cham03; IDW05; Path05]. Die Bestimmungen zur Jahresabschlussprüfung wurden z. B. in Deutschland durch das Gesetz über Kontrolle und Transparenz im Unternehmensbereich und für an US-Börsen notierte Gesellschaften durch den SOX verschärft. Letzterer gilt formal für alle an US-Börsen notierten Gesellschaften und ihre wesentlichen Beteiligungen, ist aber de facto weit darüber hinaus von Bedeutung [TreuoJ; Arbe04; KnWe06]. Bei hohen Strafandrohungen fordert Section 404 des SOX vom CEO und CFO im Rahmen der jährlichen Berichterstattung eine Beurteilung der Effektivität der... company s internal control structure and procedures for financial reporting. Section 404 also requires the company s auditor to attest to, and report on management s assessment of the effectiveness of the company s internal controls and procedures for financial reporting in accordance with standards established by the Public Company Accounting Oversight Board [SEC03]. Die Prüfer haben also zum Bericht des Managements Stellung zu nehmen. Die nachweispflichtigen Unternehmen haben alle realisierten Kontrollschritte zu dokumentieren. Die bei erstmaligen Compliance-Nachweisen oft manuell ausgeführten Kontrollschritte werden aus Sicherheits- und Kostengründen zunehmend automatisiert. Schon jetzt werden rund % der vorgesehenen Kontrollschritte in IT-Systemen abgewickelt [Schi05]; dies erklärt die erheblichen Auswirkungen des SOX auf Gestaltung, Betrieb und Wartung der ICT-Systeme [Sarb04; BuRi05; Dami05; KnWe06]. Daneben existieren zahlreiche Vorschriften mit teilweise nur lokaler oder branchenspezifischer Bedeutung. Regulierungen wie Basel II, Solvency II, die EU- Richtline MiFID ( Markets in Financial Instruments Directive ), die Vereinheitlichung des Zahlungsverkehrs in der EU gemäß SEPA (Single Euro Payments Area) und die mehr als 1000 Seiten umfassende EU-Verordnung zur Registrierung, Bewertung, Zulassung und Beschränkung chemischer Stoffe (REACH) werden demnächst wirksam und ebenfalls Auswirkungen auf ICT-Systeme und ihre Prüfung besitzen. Unternehmen, die große Anstrengungen auf sich nehmen müssen, um zu einer Vielzahl neuer und oft unklarer Bestimmungen compliant zu werden, wissen oft nicht, ob ihre Vorgehensweisen korrekt sind. Was im Zusammenhang mit dem

3 100 Gerhard F. Knolmayer Health Insurance Portability and Accountability Act (HIPAA) formuliert wird, gilt ähnlich auch für andere Anforderungen: Unfortunately, the technical requirements are buried well within mountains of information found in the HIPAA legislation, the interpretation of various experts, and government and private websites [NaBu03, 7]. Aus der Pharmaindustrie wird über einen erheblichen Zuwachs externer Prüfungen berichtet, der weder für die Pharma-Unternehmen noch für ihre Lieferanten zu bewältigen sei. Es gibt redundante Prüfungen, ihre durchschnittliche Dauer habe sich seit 1996 verdoppelt und die Kompetenz der Prüfer halte mit den technischen Weiterentwicklungen nicht Schritt [PDAS04]. 3.2 Orientierungshilfen Die SEC fordert, dass das Management seiner Beurteilung der internen Kontrollsysteme ein geeignetes, in der Fachwelt akzeptiertes Framework zugrunde legt [SEC03]. In der deutschsprachigen Wirtschaftsinformatik entwickelte Referenzmodelle haben in diesem internationalen Kontext leider kaum Beachtung gefunden. Mehrere Frameworks, Vorgehensmodelle und Reifegradmodelle schlagen Norm-Prozesse und best practices vor. Dazu gehören insbesondere das vom Committee of Sponsoring Organizations of the Treadway Commission bereits 1992 entwickelte und bisher vor allem in den USA beachtete COSO- Framework, das sich insbesondere mit der Gestaltung interner Kontrollsysteme beschäftigt und im SOX-Umfeld zu einem De-facto-Standard geworden ist, das von der ISACA ursprünglich 1995 veröffentlichte und derzeit in Release 4.0 vorliegende CobiT (Control Objectives for Information and related Technology)-Framework, das IT-Systeme detaillierter als COSO betrachtet und in den vier Domänen Planung und Organisation, Beschaffung und Einführung, Auslieferung und Unterstützung sowie Ûberwachung insgesamt 34 Prozesse definiert, zu denen u. a. die im betrachteten Umfeld sehr relevanten Prozesse Monitor and Evaluate Internal Control, Ensure Regulatory Compliance und Provide IT Governance gehören, die ursprünglich von der britischen Central Computer and Telecommunications Agency (CCTA) seit 1989 entwickelte Information Technology Infrastructure Library (ITIL), die einen Schwerpunkt auf das Service Management legt und insbesondere in Europa weite Aufmerksamkeit findet, die auf ITIL bzw. British Standard aufbauenden Normen ISO/IEC 20000, die Anforderungen und Verfahrensregeln für IT-Dienstleister und deren Prüfer formulieren, Standards zu Information Security Management Systems (wie ISO/IEC oder 27001), die Anforderungen an die IT-Sicherheit und zugehörige Prozesse sowie rund 130 Baseline Controls definieren und das vom Software Engineering Institute der Carnegie Mellon University entwickelte Capability Maturity Model (CMM), das 2001 zu dem Integrationsbedürfnisse betonenden CMMI weiter entwickelt wurde. Unterschiede und inhaltliche Ûberschneidungen der Frameworks werden nicht einmal für einen bestimmten Zeitpunkt einhellig interpretiert [Glen03; Gray04, 38; Sewe05, 56f.]. Die damit verbundene Unsicherheit verstärkt sich noch durch die Weiterentwicklungen der Frameworks. Die CobiT-Prozesse sind zudem so umfangreich definiert, dass eine vollständige Umsetzung aller Prozessschritte kaum wirtschaftlich sein wird. Zur Relativierung der Anforderungen definiert CobiT sechsstufige Reifegradmodelle; beispielsweise werden für den hier besonders interessierenden Prozess Ensure Regulatory Compliance die Stufen 0...Non-existent 1...Initial/Ad hoc 2...Repeatable but Intuitive 3...Defined Process 4...Managed and Measurable 5...Optimised unterschieden [ITGI05, 166]. Damit stellt sich die Frage, wie Management und Wirtschaftsprüfer die nur selten den maximalen Reifegrad erreichenden ICT-Systeme hinsichtlich Compliance bewerten sollen: Welcher Reifegrad wird zur Erfüllung der Compliance-Anforderungen vorausgesetzt? Prüfungsgesellschaften haben eigene Vorgehensmodelle (z. B. KPMG: Streamlining SOX 404 Compliance ; PWC: Enterprise Risk Management Integrated Framework ) entwickelt. Dies kann bei Zusammenarbeit mehrerer Prüfer (vgl. Abschnitt 4.3) dazu führen, dass auf Grund der unterschiedlichen Standards, Frameworks und Vorgehensmodelle Aussagen gemacht werden, die bei Anlegung eines anderen Maßstabes nicht zutreffen würden. IT-Anwender sollten daher zeitgerecht mit ihren Wirtschaftsprüfern die Anforderungen abklären, welche von diesen in der Prüfung an ordnungsgemäße Gestaltung, Betrieb und Wartung von ICT-Systemen gelegt werden. 3.3 Software-Unterstützung für interne Kontrollsysteme Am Beispiel der SAP-Systeme wird skizziert, wie Software-Lösungen das interne Kontrollsystem und damit Compliance- Nachweise unterstützen können: In SAP R/3 sind inhärente und konfigurierbare Kontrollen vorgesehen. Zur ersten Gruppe zählen die Verknüpfung der Belege eines Geschäftsfalls, die sofortige Aktualisierung von Haupt- und Nebenbuchhaltung, die Protokollierung von Programm- und Konfigurationsänderungen sowie das Monitoring der Transaktionsnutzung. Beim Customizing können z. B. Muss-Felder definiert, Toleranzschwellen festgelegt und benutzerdefinierte Fehlerund Warnmeldungen vorgesehen werden. Vordefinierte Standardberichte unterstützen die Berichtskontrolle, das Audit Information System die Prüfungsprozesse [SiSt06, 62f.]. In mysap ERP Financials wird zusätzlich ein Tool Management of Internal Controls (MIC) angeboten, dessen Entstehung auf den SOX zurückzuführen ist. MIC unterstützt interne Kontrollsysteme durch ein Prozessmodell, in dem folgende Phasen unterschieden werden [SAPoJ]: (1) Scoping und Projektstart (2) Dokumentation interner Kontrollen (3) Selbstbeurteilung der internen Kontrollen (4) Beurteilung der Managementkontrollen für Prozessgruppen und Organisationseinheiten (5) Test der Wirksamkeit der Kontrollen (6) Reporting, Sign Off. Den Umfang von internen Kontrollsystemen und ihren Bezug zu ICT-Systemen veranschaulicht folgendes Beispiel: In einem Konzern werden rund 100 Organisationseinheiten in der MIC-Hierarchie abgebildet. Ein zentraler Katalog unterscheidet 13 Prozessgruppen mit rund 70 Prozessen; je Prozess sind 20 Musterkontrollen definiert. Insgesamt werden mehr als Organisationseinheitenspezifische Kontrollen angewandt [SiSt06, 69f.].

4 Compliance-Nachweise bei Outsourcing von IT-Aufgaben Auslagerung Compliancerelevanter Aufgaben Dieser Abschnitt beschäftigt sich damit, wie Compliance dann nachgewiesen werden kann, wenn relevante Prozessschritte ausgelagert wurden. In [BITK06, 24] wird die Relevanz verschiedener Compliance- Vorschriften im Hinblick auf IT-Outsourcing beurteilt. Die Leistungserbringer können von Prüfern SAS 70 Reports erstellen lassen, um den Informationsbedürfnissen ihrer Auftraggeber und deren User Auditors entsprechen zu können [AICP06]. Eine kritische Analyse dieses Instruments zeigt u. a., dass die Auslagerung ins Ausland sowie ein starkes Ausmaß an horizontaler oder vertikaler Arbeitsteilung die Vorlage aussagekräftiger Berichte erschwert. 4.1 Nachweispflichten trotz Auslagerung Vor Verschärfung der Compliance-Anforderungen wurde oft davon ausgegangen, dass das auslagernde Unternehmen nur bestimme, was der Dienstleister zu erbringen habe, es aber diesem überlassen sei, wie diese Leistungen erbracht werden. Diese Sichtweise kann bei Auslagerung Compliance-relevanter Aufgaben nicht aufrechterhalten werden, weil das auslagernde Unternehmen sicherstellen muss, dass die Vorgehensweisen des Leistungserbringers den Ansprüchen des Gesetzgebers und der Regulatoren entsprechen. Unternehmen können sich ihren Nachweispflichten nicht durch Auslagerung entziehen. So stellt die Eidgenössische Bankenkommission (EBK) bereits 1999 fest: Die Unternehmung ist gegenüber der Aufsichtsbehörde auch für die ausgelagerten Geschäftsbereiche verantwortlich, wie wenn sie diese selbst betreiben würde [EBK99, 3]. Analog, aber mit stärkerem Bezug auf IT-Systeme, formuliert das (auf Basis des SOX etablierte) Public Company Accounting Oversight Board (PCAOB) in Auditing Standard No. 2: The use of a service organization does not reduce management s responsibility to maintain effective internal control over financial reporting und If the service organization s services are part of the company s information system..., then they are part of the information and communication component of the company s internal control over financial reporting [PCAO04, 249]. 4.2 Einschränkungen und Voraussetzungen für Auslagerungen Einschränkungen für Outsourcing und insbesondere für Verlagerungen ins Ausland bestehen vor allem für Finanzdienstleister [HaHS00]. In Deutschland verbietet das auf 25a (2) Kreditwesengesetz beruhende Rundschreiben 11/2001 der Bundesanstalt für Finanzdienstleistungsaufsicht die Auslagerung originärer Leitungsaufgaben wie Unternehmensplanung, -organisation, -steuerung und -kontrolle; bei größeren Banken darf auch die Interne Revision nicht vollständig ausgelagert werden. Zudem darf die Gesamtheit der bei Einzelbetrachtung auslagerungsfähigen Bereiche die in der Bank verbleibenden an Umfang und Bedeutung nicht deutlich übertreffen. Für Weiterverlagerungen an Subunternehmer muss das auslagernde Institut vertraglich einen Zustimmungsvorbehalt vereinbaren [Bund01]. Die Prüfrechte der Internen Revision, der Abschlussprüfer und des Bundesaufsichtsamts müssen durch eine Duldungserklärung des Leistungserbringers bestätigt werden. Bei Auslagerungen ins Ausland muss die Rechtsordnung des ausländischen Staates, in dem der Leistungserbringer domiziliert ist, solche Prüfungen erlauben. Der Abschlussprüfer hat zur Ordnungsmäßigkeit der Auslagerung und zu jeder Auslagerungsmaßnahme Stellung zu nehmen [Bund01]. Ein Rundschreiben der EBK verlangt, dass Outsourcing-Lösungen den Erfordernissen einer angemessenen Organisation, des Bankgeheimnisses und des schweizerischen Datenschutzes entsprechen. Intern ist festzulegen, welche Stelle für die Kontrolle des Leistungserbringers verantwortlich ist; seine Leistungen sind fortlaufend zu überwachen und zu beurteilen, so dass allfällig notwendige Maßnahmen sofort ergriffen werden können. Die Bank muss die nötigen Einsichts-, Weisungs- und Kontrollrechte vertraglich vereinbaren. Prüftätigkeiten können an den Wirtschaftsprüfer des Leistungserbringers delegiert werden, sofern dieser über die notwendigen Kompetenzen verfügt [EBK99]. 4.3 Prüfung ausgelagerter Compliance-relevanter Aufgaben Prüfrechte und -pflichten Das Institut der Wirtschaftsprüfer legt im Prüfungsstandard IDW PS 331 Regelungen für die Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen [IDW03] fest, die sich am International Standard on Auditing ISA 402 Audit Considerations Relating to Entities Using Service Organizations des International Auditing and Assurance Standards Boards orientieren. Grundsätzlich ist der User Auditor für die Prüfung des Gesamtsystems und damit auch der ausgelagerten Systeme der User Organization verantwortlich. Unter anderem obliegt dem User Auditor die Prüfung der Schnittstellen zwischen internen und ausgelagerten ICT-Systemen z. B. hinsichtlich Vollständigkeit, Genauigkeit und Freigabe übertragener Inputs, der Sicherstellung der Vollständigkeit und Richtigkeit erhaltener Outputs sowie der Zugangskontrollen zu den ausgelagerten Systemen [GeBa03, 72]. Bild 1 veranschaulicht einen Teil der bei Auslagerung Compliance-relevanter Aufgaben entstehenden Rechts- und Kommunikationsbeziehungen und die Sequenz, in der die Anforderungen und Berichte entstehen. Der Leistungserbringer kann die Compliance-relevanten Aufgaben auf Basis strikter Anweisungen des Auftraggebers oder auf Grund eigener Entscheidungen so erfüllen, dass ein vertraglich mit dem Leistungsbezieher vereinbartes Ergebnis erzielt wird. Im ersten Fall kann es ausreichen, im internen Kontrollsystem des auslagernden Unternehmens wirksame Regelungen zur Ûberwachung der Auslagerung einzurichten [IDW03, 1001]. Andernfalls muss sich der Leistungsbezieher auf das interne Kontrollsystem des Leistungserbringers verlassen. Der User Auditor muss beurteilen, ob die Tätigkeit des Leistungserbringers durch sein eigenes internes Kontrollsystem oder jenes des Leistungsbeziehers hinreichend überwacht wird. Deshalb sind vertraglich Prüfungs- und Kontrollrechte zu vereinbaren, damit sich der Leistungsbezieher bzw. sein Prüfer von der Angemessenheit und Wirksamkeit des internen Kontrollsystems beim Leistungserbringer überzeugen kann, soweit keine ausreichenden Prüfungsergebnisse Dritter vorliegen. Die Beurteilung kann auf Systemprüfungen der den Leistungserbringer betreffenden internen Kontrollen des Leistungsbeziehers, Verwertung des Berichts eines Service Auditors über die Wirksamkeit des internen Kontrollsystems des Leistungserbringers und eigenen Prüfhandlungen beim Leistungserbringer basieren. Ergänzend kann der User Auditor Prüfergebnisse des Service Auditors sowie Feststellungen der internen Revision

5 102 Gerhard F. Knolmayer des Leistungserbringers, von Sachverständigen und Aufsichtsbehörden berücksichtigen [IDW03, 1001]. Werden Ergebnisse des Service Auditors verwertet, so hat der User Auditor dessen berufliche Qualifikation und fachliche Kompetenz sowie die Qualität, Verwertbarkeit und Angemessenheit seiner Berichte zu beurteilen. Insbesondere muss der Service Auditor nach Art, Umfang und Zeitpunkt ausreichende Funktionsprüfungen vorgenommen haben [IDW03, 1001]. Er hat darzulegen, ob die Beschreibung des internen Kontrollsystems durch das Management richtig ist, die Kontrollen implementiert wurden und das interne Kontrollsystem angemessen ausgestaltet ist, um die Ziele zu erreichen [IDW03, 1002]. Der User Auditor hat dazu im Prüfungsbericht Stellung zu nehmen. Reichen die Informationen Dritter nicht aus, so muss der User Auditor nach [IDW03, 1001] selbst Informationen beim Leistungserbringer beschaffen oder diesen auffordern, einen Service Auditor mit Prüfungshandlungen zu betrauen. Im ersten Fall hat der Leistungsbezieher den Leistungserbringer aufzufordern, dem User Auditor Zugang zu den notwendigen Informationen zu gewähren. Im zweiten Fall sind die erforderlichen Prüfhandlungen nach Abstimmung zwischen dem Leistungsbezieher und seinem Prüfer durch den Leistungserbringer und den Service Auditor zu vereinbaren SAS 70 Reports Die oben angeführten Aktivitäten können insbesondere bei einem für mehrere Kunden international tätigen Leistungserbringer erheblichen Aufwand auslösen. Aus diesem Grund hat das AICPA bereits 1992 ein Statement for Auditing Standard SAS No 70 verabschiedet, das sich mit der Prüfung von Service Organizations auseinander setzt und vorsieht, dass ein Service Auditor SAS 70 Reports erstellen kann [AICP06]. Diese Reports existieren in zwei Ausprägungen. Ein (hier relevanter) SAS 70 Report vom Typ II bestätigt das Vorhandensein und die durch Tests festgestellte Effektivität der internen Kontrollen. SAS 70 Reports sind nicht etwa kurze Bestätigungen, sondern umfangreiche Dokumente. So nimmt ein SAS 70 Report für einen IT-Dienstleister zu folgenden Prüfgebieten Stellung: Physical Security Logical Authentication and Access Security Monitoring Systems Implementation Systems Enhancements and Maintenance Bild 1 Rechts- und Kommunikationsbeziehungen bei Outsourcing Compliancerelevanter Aufgaben Problem Management System Backup [Navi06]. Die Vorlage eines SAS 70 Reports soll ermöglichen, dass der User Auditor auf eigene Prüfungshandlungen beim Leistungserbringer verzichten kann. Diese Berichte waren vor Inkrafttreten des SOX wenig verbreitet, gewinnen aber nun an Bedeutung. Manche Leistungserbringer waren nicht in der Lage, SAS 70 Reports beizubringen; das Management der auslagernden Unternehmen musste darauf in den SEC Filings hinweisen [BaMc05]. Das Instrument der SAS 70 Reports wird aus mehreren Gründen kritisch beurteilt: Allgemeine Kritik Dieser obscure auditing standard [Schn04a] würde neuere Entwicklungen bei der Prüfung interner Kontrollsysteme insbesondere im Zusammenhang mit dem SOX schon auf Grund seines Alters zu wenig berücksichtigen. SAS 70 sei nicht IT-spezifisch, zu wenig technisch orientiert und Sicherheitsfragen würde zu wenig Aufmerksamkeit gewidmet [Leun03]. Kritik an unpräzisen Prüfobjekten SAS 70 kennt keine Maßnahmen- und Prüfungskataloge; das Prüfobjekt ist nicht präzise umschrieben, sondern wird vom Leistungserbringer festgelegt [AICP06, 34]. Der Service Auditor berichtet über vorgefundene Fehler, nicht aber über den Umfang seiner Prüfungen. Er kann zudem beim Leistungserbringer bestehende Risiken nicht ausreichend bewerten, weil ihm mögliche Auswirkungen des Risikoeintritts auf die Leistungsbezieher nicht bekannt sind. Haben der Leistungsbezieher und/ oder sein Prüfer spezifische Anforderungen an den SAS 70 Report, so muss der User Auditor diese zeitgerecht gegenüber dem Leistungserbringer formulieren, damit diese in den Prüfauftrag an den Service Auditor einbezogen werden können (vgl. Bild 1). Regulatorische Anforderungen unterscheiden sich nach Staat, Land und Branchen. Ein international und branchenübergreifend tätiger IT-Dienstleister kann daher mit einer Vielzahl zumindest teilweise unterschiedlicher Anforderungen konfrontiert sein [Cham03, 75; Hurl06]. Dies wird in Bild 2 durch unterschiedliche Strichlinien zum Ausdruck gebracht. Der Leistungserbringer muss die Vereinigungsmenge aller gestellten Anforderungen erfüllen, wenn der Service Auditor einen allgemein verwendbaren SAS 70 Report vorlegen

6 Compliance-Nachweise bei Outsourcing von IT-Aufgaben 103 soll. IBM hat einen Bericht über eine SAS 70-Prüfung rund 200 Kunden im Geschäftsbereich EMEA zur Verfügung gestellt; einige Kunden hatten speziell auf ihre Situation zugeschnittene Berichte gefordert [Math05, 163]. Zeitliche Koordination der Prüfhandlungen und -berichte Zwischen den Prüfungshandlungen des Service Auditors, dem Zeitpunkt der Berichterstattung des Leistungsbeziehers und dem Zeitpunkt der Prüfung durch den User Auditor bestehen zeitliche Abhängigkeiten. Da die Wirtschaftsjahre der Kunden eines Leistungserbringers voneinander abweichen können und die SAS 70 Reports zeitnah sein sollen, kann der Fall eintreten, dass (insbesondere nach Veränderungen im internen Kontrollsystem) der zuletzt vorliegende Bericht den Aktualitätsanforderungen nicht entspricht [Step03]. In diesem Zusammenhang stellt sich die Frage, ob der Leistungserbringer zu Quartalsprüfungen oder sogar zu nahezu kontinuierlichen Prüfungen ( Rolling audits ) verpflichtet ist, um seinen Kunden bzw. ihren Prüfern aussagefähige Berichte zur Verfügung stellen zu können. Bild 2 Bündelung multipler Anforderungen mehrerer Leistungsbezieher zur Erstellung eines einheitlichen SAS 70 Reports Ganzheitliche Beurteilung Für eine umfassende Risikomanagement- Beurteilung sind Daten aus verschiedenen Quellsystemen zusammenzutragen, zu bereinigen, auszuwerten und zu interpretieren. In der Diskussion um Entwicklungstendenzen im Outsourcing wird zuweilen unterstellt, die auslagernden Unternehmen würden vermehrt Best-of-Breed -Konzepte umsetzen und mit mehreren spezialisierten IT-Dienstleistern zusammen arbeiten (horizontale Arbeitsteilung). Dann resultieren die in Bild 3 dargestellten Leistungs- und Kommunikationsbeziehungen. Nehmen mehrere Leistungserbringer Compliance-relevante Aufgaben wahr, so vermittelt eine isolierte Berichterstattung über Vorgehensweisen und Kontrollmaßnahmen der einzelnen Leistungserbringer möglicherweise kein aussagefähiges Bild vom Gesamtsystem und der User Auditor muss trotz Vorliegen von SAS 70 Reports eigene Prüfhandlungen setzen. Zuweilen übertragen Outsourcing-Vertragspartner Compliance-relevante Aufgaben an Subservice Organizations [AICP06, 59f.]. Manchmal ist Vertragspartner des auslagernden Unternehmens eine in seinem Sitzstaat domizilierte Tochtergesellschaft eines ausländischen Outsour- Bild 3 Compliance-Beurteilung bei Beschäftigung mehrerer Leistungserbringer nach dem Best-of-Breed-Konzept

7 104 Gerhard F. Knolmayer cing-anbieters. Für Weiterverlagerungen an Subunternehmer sollte die auslagernde Unternehmung einen Zustimmungsvorbehalt vertraglich vereinbaren. Werden mehrere Subservice-Gesellschaften hintereinander geschaltet, so entsteht eine n-tier Supply Chain von Dienstleistungen (vertikale Arbeitsteilung). Eine isomorphe Kette von SAS 70 Reports wäre aber nur dann notwendig, wenn in jeder Stufe Compliancerelevante Aufgaben weiter verlagert werden. Da die auslagernde Unternehmung typischerweise keine Verträge mit den Subservice Organizations abschließt, sollte der (vertraglich gebundene) Tier-1-Leistungserbringer die Informationen über interne Kontrollen der Subservice Organizations bereitstellen, was zu extensiven Planungsund Kommunikationsprozessen führen kann. Erforderlichenfalls muss der User Auditor Prüfungshandlungen auch bei den Subservice Organizations vornehmen [AICP06, 61f.]. Unvereinbarkeitsregelungen Prüft eine Wirtschaftsprüfungsgesellschaft ein Unternehmen, so schließt dies die Erbringung bestimmter anderer Dienstleistungen für diesen Auftraggeber aus. Im betrachteten Umfeld können Unvereinbarkeiten zwischen User Auditor und Service Auditor entstehen [Schn04b]. Auch Aufgaben der Internen Revision können z. B. an einen externen Prüfer ausgelagert werden [WiSe99]. Da die Interne Revision ein Prüfobjekt des User Auditors darstellt, könnte auch über eine (teilweise) ausgelagerte Interne Revision ein SAS 70 Report durch einen Service Auditor angefordert werden. In diesem Fall beurteilt ein Wirtschaftsprüfer das Vorgehen eines anderen Wirtschaftsprüfers. 5 Auswirkungen von Compliance-Anforderungen auf den Umfang von Outsourcing In Verbindung mit dem SOX werden widersprüchliche Thesen über die Auswirkungen neuer regulatorischer Anforderungen auf den Umfang von Outsourcing- Aktivitäten und die Aufgabenverlagerung ins Ausland vertreten. Gesicherte empirische Evidenzen liegen noch nicht vor und sind schwierig zu gewinnen. Die Auslagerung Compliance-relevanter IT-Aufgaben an Dienstleister führt dazu, dass zur Erbringung der Nachweise notwendige Anpassungen im Rechnungswesen, in den internen Kontrollsystemen und den ICT-Systemen nicht im auslagernden Unternehmen vorgenommen werden müssen. Der Leistungserbringer kann dann, wenn die Compliance-Anforderungen mehrerer Kunden und ihrer Wirtschaftsprüfer (weitgehend) übereinstimmen, Economies of Scale realisieren, wie sie für wissensintensive Prozesse bei Outsourcing charakteristisch sind [MeKn98, 22f.]. Auf diese Weise können sich für die auslagernden Unternehmen Kostenvorteile bei Compliance-Nachweisen auch dann ergeben, wenn der Leistungserbringer ein Entgelt für die bei ihm notwendigen Veränderungen und die Bereitstellung eines SAS 70 Reports fordert. Eine gegenüber internen IT-Bereichen höhere Professionalität spezialisierter Leistungserbringer kann die Ausrichtung an den anspruchsvollen Frameworks erleichtern. Die Bedeutung von Zertifikaten haben die im Offshoring-Geschäft tätigen IT-Dienstleister erkannt: Rund 75 % der gemäß CMMI den höchsten Reifegrad von Informationssystemen aufweisenden Unternehmen sind in Indien domiziliert [Deut05, 6]. Die skizzierten Beziehungen zwischen den Geschäftsleitungen, den IT-Verantwortlichen der auslagernden Unternehmen, den Leistungserbringern sowie den internen und externen Prüfern ergeben ein komplexes Beziehungsgefüge, das der mit Outsourcing angestrebten Komplexitätsreduktion widerspricht. Die Kommunikationsund Beurteilungsprozesse und die gegebenenfalls erforderlichen Systemprüfungen z. B. bei einem indischen IT-Dienstleister können zu einem organisatorisch und fachlich anspruchsvollen, kostenintensiven Vorgang werden. Darüber hinaus kann die Notwendigkeit, Compliance-Nachweise vorzulegen, zu Einschränkungen der unternehmerischen Handlungsfreiheit führen: Einem Compliance-relevante Aufgaben auslagernden Unternehmen wurde von seinem User Auditor mitgeteilt, der geplante Wechsel des Leistungserbringers müsse zeitlich verschoben werden, da andernfalls Veränderungen in den internen Kontrollsystemen nicht zeitgerecht geprüft werden könnten [Meke05]. Gesetzgeber und Regulatoren wollen operationelle Risiken u. a. durch ein verpflichtend vorgeschriebenes Risiko-Management reduzieren. Diese Risiken steigen in vielen Fällen durch Outsourcing, insbesondere bei Auslagerungen ins Ausland [Base01; Djav05]; nach Basel II können daraus eine höhere Kapitalbindung und höhere Kapitalkosten resultieren. Zu den Risiken bei Outsourcing von Finanzdienstleistungen zählt [Base05, 11] Compliance- Risiken, insbesondere unzureichenden Datenschutz, mangelhafte Berücksichtigung von Konsumenten- und Aufsichtsrecht sowie unzureichende Kontrollsysteme des Leistungserbringers. Beschäftigen viele Unternehmen einer Branche den gleichen Leistungserbringer, so kommt es zu einer gesamtwirtschaftlich unerwünschten Risikokonzentration [Base05, 18f.]. Die mit Outsourcing verbundenen Zusatzrisiken müssen durch umfangreichere Kontrollprozesse kompensiert werden, um ein der internen Aufgabenerfüllung vergleichbares Sicherheitsniveau zu erreichen. Bei Beurteilung von Outsourcing-Vorhaben stellt sich somit die Frage, ob die durch Compliance-Regelungen angestrebte Risikoreduktion günstiger durch interne oder externe Erfüllung der dafür relevanten IT-Aufgaben erreicht werden kann. Mehr als 80 % sowohl der auslagernden Unternehmen als auch der Outsourcing- Anbieter nehmen an, dass gesetzgeberische Maßnahmen oder politischer Druck die Auslagerung ins Ausland beeinträchtigen können [BrWi05, 5]. Restriktive gesetzliche und aufsichtsrechtliche Rahmenbedingungen sind Ursache dafür, dass sich Unternehmen gegenüber Outsourcing zögerlich verhalten [PwC05, 25]. In der Schweiz führen die EBK-Regelungen dazu, dass Aufgaben, zu deren Erfüllung Kundendaten ins Ausland transferiert werden müssten, nicht ins Ausland verlagert werden können [Sont06]. Für manche kommt wegen der Vorschriften des SOX ein Outsourcing Compliance-relevanter Aufgaben nicht in Betracht oder es wird die Frage nach der Vereinbarkeit von Outsourcing und Compliance-Nachweisen aufgeworfen [Step03, 7; Brei06]. Gesetzgeber und Behörden hätten grundsätzlich die Möglichkeit, durch restriktive Maßnahmen und Anforderungen die Auslagerung von Aufgaben ins Ausland zu erschweren. Solche Maßnahmen werden zuweilen unter arbeitsmarktpolitischen Gesichtspunkten gefordert [ErSa05, 111]. Allerdings sind für eine in dieser Weise agierende Volkswirtschaft Wettbewerbsnachteile zu erwarten, wenn Auslagerungen tatsächlich die ihnen zugeschriebenen Vorteile [McKi03] besitzen. Damit würden die verstärkten Regulierungsmechanismen neben ihren direkten Kostenfolgen weitere negative Auswirkungen besitzen und die oft geäußerte Vermutung einer Ûberregulierung noch berechtigter erscheinen lassen.

8 Compliance-Nachweise bei Outsourcing von IT-Aufgaben Fazit und Ausblick Regulatorische Vorschriften besitzen bisher weitgehend vernachlässigte Auswirkungen auf die Attraktivität von Outsourcing-Beziehungen. Dieser Beitrag zeigt die Komplexität, die bei Gestaltung und Betrieb Compliance-relevanter ICT-Systeme und ihrer Prüfung bei Outsourcing entstehen kann. Auch unter Compliance-Gesichtspunkten sind mit Outsourcing Vor- und Nachteile verbunden. Wie die neuen regulatorischen Anforderungen die Verlagerung von IT-Aufgaben insbesondere ins Ausland beeinflussen, sollte zum Gegenstand weiterer Forschungsarbeiten werden. Die Forderungen nach Compliance sind ein wichtiger Schritt zur Etablierung eines betriebswirtschaftlichen IT-Risikomanagements [Müll06]. Zu wenig klar formulierte und umgesetzte Prozesse werden als wesentliche Schwachstelle bei IT-Outsourcing angesehen [VaVa00]. Die Wirtschaftsinformatik sollte die in ihr erarbeiteten Vorschläge zur Erreichung höherer Transparenz und geringeren Risikos in die Diskussion um die Erfüllung von Compliance-Anforderungen stärker als bisher einbringen. Zudem sollten Fachkenntnisse aus Betriebswirtschaftslehre und Wirtschaftsinformatik bei Ausarbeitung neuer Regulierungen intensiver als bisher berücksichtigt werden, um den Beschluss von Vorschriften zu vermeiden, die systemtechnisch nicht oder nur überaus schwierig erfüllbar sind und zu fragwürdigen gesamtwirtschaftlichen Nutzen/Kosten-Relationen führen. [Base01] Basel Committee on Banking Supervision/ Bank for International Settlements: Internal audit in banks and the supervisor s relationship with auditors, Basel publ/bcbs84.pdf, , Abruf am [Base05] Basel Committee on Banking Supervision/ Bank of International Settlements: Outsourcing in Financial Services, Basel Abruf am [BITK06] BITKOM (Hrsg.): Compliance in IT- Outsourcing-Projekten, Leitfaden zum Umsetzung rechtlicher Rahmenbedingungen. Berlin- Mitte [Brei06] Breitenbach, Thomas: Outsourcing und Compliance: Ein Widerspruch? Vortrag am BITKOM-Forum Outsourcing Sicherheit. Frankfurt, [BrWi05] Brown, Douglas; Wilson, Scott: The Black Book of Outsourcing. Wiley, Hoboken [Bund01] Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 11/2001, Auslagerung von Bereichen auf ein anderes Unternehmen gemäß 25a Abs. 2 KWG, rs11_01.htm, , Abruf am [BuRi05] Butler, Charles W.; Richardson, Gary L.: The Implications of Sarbanes-Oxley for the IT Community. In: Cutter Consortium (Hrsg.): Enterprise Risk Management and Governance Advisory Service, Executive Report 2 (2005) 3. [Cham03] Champlain, Jack. J.: Auditing Information Systems. 2nd ed. Hoboken, Wiley [Dami05] Damianides, Marios: Sarbanes-Oxley and IT Governance: New Guidance on IT Control and Compliance. In: Information Systems Management 22 (2005) 1, S [Deut05] Deutsche Bank Research: Outsourcing nach Indien: der Tiger auf dem Sprung. Frankfurt DBR_INTERNET_DE-PROD/ PROD pdf, , Abruf am [Djav05] Djavanshir, G. Reza: Surveying the Risks and Benefits of IT Outsourcing. In: IT Pro 7 (2005) 6, S [EBK99] Eidgenössische Bankenkommission: Rundschreiben der Eidg. Bankenkommission: Auslagerung von Geschäftsbereichen (Outsourcing). mitteil/1999/m pdf, , Abruf am: [ErSa05] Erber, Georg; Sayed-Ahmed, Aida: Offshore Outsourcing. In: Intereconomics 40 (2005) 2, S [GeBa03] Germano, Lisa; Baker, Anita: Why an SAS 70 Review Will Benefit Your Organization. In: Journal of Pension Benefits 11 (2003) 1, S [Glen03] Glenfis: ITIL-Cobit Mapping. ITIL-Cobit-Mapping_de.xls, Abruf am [Gray04] Gray, Helen: Is there a relationship between IT governance and corporate governance? What improvements (if any) would IT governance bring to the LSC? template_itgi.cfm?template=/contentmanagement/contentdisplay.cfmcontentid=16236, Abruf am [HaHS00] Hadding, W.; Hopt, K.J.; Schimansky, H. (Hrsg.): Funktionsauslagerung (Outsourcing) bei Kreditinstituten. Bankrechtstag de Gruyter, Berlin-New York [HeAu06] Heinzl, Armin; Autzen, Birte: Offshore- Outsourcing und dessen Konsequenzen für das Berufsbild des Wirtschaftsinformatikers. In: WIRTSCHAFTSINFORMATIK 48 (2006) 4, S Literatur [AICP06] American Institute of Certified Public Accountants: AICPA Audit Guide. Service Organizations: Applying SAS No. 70, as Amended. With Conforming Changes as of May 1, AICPA, New York [Arbe04] Arbeitskreis Externe und Interne Ûberwachung der Unternehmung der Schmalenbach- Gesellschaft für Betriebwirtschaft e.v.: Auswirkung des Sarbanes-Oxley Act auf die Interne und Externe Unternehmensüberwachung. In: Betriebs-Berater 59 (2004) 44, S [AsMV06] Aspray, William; Mayadas, Frank; Vardi, Moshe Y. (Hrsg): Globalization and Offshoring of Software. ACM, o.o fullfinal.pdf, Abruf am [BaMc05] Baker McKenzie: SOX and Outsourcing: Material Weakness Due to Service Provider. PDFs/ArticlePDFS/ BMOutsourcing %20Alert_June2005.pdf, , Abruf am Abstract Proofing Compliance when Outsourcing IT Tasks Information and communication systems become more and more relevant in proving compliance with different types of regulations, e.g. the Sarbanes-Oxley Act. In the case of outsourcing, auditing procedures may reach beyond the boundaries of the company. SAS 70 reports can be used to document the compliance of service providers. Due to different legal systems and awareness, the auditing of service providers may become tedious especially in the case of offshoring or nearshoring. Proofing compliance becomes difficult if several service providers are employed or if the service provider employs subservice providers. One advantage of outsourcing compliance-relevant tasks is that the proof of compliance is (partially) delegated to another company. However, for providing this evidence the service provider will charge costs and the quality of the confirmation may not be accepted by the auditor of the company which is outsourcing IT tasks. Therefore it is not clear whether the accentuated regulations favor or inhibit the outsourcing bandwagon. Keywords: Audit, Compliance, Nearshoring, Offshoring, Outsourcing, Sarbanes-Oxley Act, SAS 70 Reports

9 106 Gerhard F. Knolmayer [Hurl06] Hurley, Jim: The Struggle to Manage Security Compliance for Multiple Regulations. White Paper resources/whitepapers/ StruggleToManage_ WP.pdf, , Abruf am [IDW02] Institut der Wirtschaftsprüfer: IDW Prüfungsstandard: Abschlußprüfung bei Einsatz von Informationstechnologie (IDW 330). In: Die Wirtschaftsprüfung 55 (2002) 21, S [IDW03] Institut der Wirtschaftsprüfer: IDW Prüfungsstandard: Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen (IDW PS 331). In: Die Wirtschaftsprüfung 56 (2003) 18, S [IDW05] Institut der Wirtschaftsprüfer: Rechnungslegung und Prüfung beim Einsatz von Informationstechnologie. Düsseldorf, IDW [ITGI05] IT Governance Institute: COBIT 4.0, Rolling Meadows [KnWe06] Knolmayer, Gerhard F.; Wermelinger, Thomas: Der Sarbanes-Oxley Act und seine Auswirkungen auf die Gestaltung von Informationssystemen. In: Siegel, T.; Klein, A.; Schneider, D.; Schwintowski, H.-P. (Hrsg.): Unternehmungen, Versicherungen und Rechnungswesen. Duncker Humblot, Berlin 2006, S [Leun03] Leung, Linda: Call in the security auditors. In: Network World 20 (2003) 30, S. 41. [Math05] Mathews, Bimal: Prüfung outgesourcter Informatikleistungen Prüfprozessoptimierung im IT-Security Bereich. Diplomarbeit, Uni Zürich Diplom_PruefungOutsourcingIT.pdf, , Abruf am [McKi03] McKinsey Global Institute: Offshoring: Is It a Win-Win Game? San Francisco ComparativeAdvantageMyths/ IsOffshoringWinWin_McKinsey.pdf, , Abruf am [MeGa04] Mensik, Michael S.; Garesis, Robert: The Sarbanes-Oxley/Outsourcing Intersection: An Introduction. In: Baker McKenzie (Hrsg.): U.S. Outsourcing Client Alert, BC9F5D-47A1-4E85-88C3-27E152D85509/ 0/CAOutsourcing0904.pdf, Abruf am [MeGW05] Mertens, Peter; Große-Wilde, Jörn; Wilkens, Ingrid: Die (Aus-)Wanderung der Softwareproduktion Eine Zwischenbilanz. Arbeitsberichte des Instituts für Informatik der Friedrich-Alexander-Universität Erlangen Nürnberg 38 (2005) 3. [Meke05] Mekechuk, Bryan: The Compliance Imperative. In: Optimize (2005) 45. showarticle.jhtml?articleid= , Abruf am [MeKn98] Mertens, Peter; Knolmayer, Gerhard: Organisation der Informationsverarbeitung. 3. Aufl., Gabler, Wiesbaden [Mert04] Mertens, Peter: Informationstechnik in Deutschland Ein Auslaufmodell? In: Informatik-Spektrum 27 (2004) 3, S [Mert05] Mertens, Peter: Für Sie gelesen: Can Germany Win from Offshoring?, Stellungnahme zum Bericht des McKinsey Global Institute. In: WIRTSCHAFTSINFORMATIK 47 (2005) 3, S [Müll06] Müller, Günter: Für Sie gelesen: Budgeting Process for Information Security Expenditures. In: WIRTSCHAFTSINFORMATIK 48 (2006) 4, S [NaBu03] Nanda, Arup; Burleson, Donald K.: Oracle Privacy Security Auditing. Includes Federal Law Compliance with HIPAA, Sarbanes- Oxley The Gramm-Leach-Bliley Act GLB. Rampant Tech Press, Kittrell [Navi06] NaviSite: SAS 70 and Application Outsourcing. White Paper. NaviSite, o.o about/our_story/ SAS %2070 %20White %20Paper_June06.pdf, Abruf am [Path05] Pathak, Jagdish: Information Technology Auditing. An Evolving Agenda. Springer, Berlin [PCAO04] PCAOB: Auditing Standard No. 2 An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements, 2004 (As of ) Rules_of_the_Board/Auditing_Standard_2.pdf, Abruf am [PDAS04] PDA Supplier Auditing Qualification Task Group: Auditing of Suppliers Providing Computer Products and Services for Regulated Pharmaceutical Operations. In: PDA Journal of Pharmaceutical Science and Technology 58 (2004) 5, Technical Report 32, Release 2.0. [Phil98] Philip, Mathias: Ordnungsmäßige Informationssysteme im Zeitablauf Umsetzung der GoBS im Informationssystem-Lebenszyklus. In: WIRTSCHAFTSINFORMATIK 40 (1998) 4, S [PwC05] PwC Deutsche Revision: Entwicklung von Branchen-Standards im Investmentgeschäft. In: PwC Deutsche Revision (Hrsg.): PwC, Frankfurt am Main 2005, S mandantenmagazin/ pdf, Abruf am [SAPoJ] SAP: Management of Internal Controls EB894B65AEA15E1F5DD861B0.htm, Abruf am [Sarb04] Sarbanes Oxley Group: The Sarbanes-Oxley Guide For Finance And Information Technology Professionals. Booksurge/CLA, o.o [Schi05] Schirmbrand, Michael: IT Governance Aktuelle Entwicklungen. summit_6u7_9_05/03_schirmbrand.pdf, , Abruf am [Schn04a] Schneider, Craig: Stuck in the SAS 70s. In: CFO.com. article.cfm/ , , Abruf am [Schn04b] Schneider, Craig: A World of Trouble. In: CFO 20 (2004) 4, S , , Abruf am [SEC03] U.S. Security and Exchange Commissio: SEC Implements Internal Control Provisions of Sarbanes-Oxley Act; Adopts Investment Company RD Safe Harbo., , Abruf am [Sewe05] Sewera, Sonja: Referenzmodelle im Rahmen von IT-Governance. CobiT ITIL MOF. inf-sem-ss-05/referenzmodelle, Abruf am [SiSt06] Siebert, Jörg; Strohmeier, Martin: mysap ERP Financials. Galileo, Bonn [Sont06] Sontheimer, Thomas: Höherer Nutzen als nur Kostenersparnis. In: Computerworld (2006) 43, S [Step03] Stephenson, Mark: Does SAS 70 Suffice for SOA? In: Protiviti KnowledgeLeader Wiederabgedruckt in: ISACA San Francisco Chapter (2004) 1, S q1_lan.pdf, Abruf am [TreuoJ] Treuhand-Kammer (Hrsg.): Was bedeutet der Sarbanes-Oxley Act of 2002 für Schweizer Unternehmen? Eine Orientierungshilfe zum neuen US-Gesetz. Zürich o.j. Oxley_de2.pdf, Abruf am [VaVa00] Van Grembergen, Wim; Vander Borght, Daniel: An Audit of IT Outsourcing: A Case Study. In: Butler, J. (Hrsg.): Winning the Outsourcing Game. Auerbach, Boca Raton 2000, S [WiSe99] Widener, Sally K.; Selto, Frank H: Management Control Systems and Boundaries of the Firm: Why Do Firms Outsource Internal Auditing Activities? In: Journal of Management Accounting Research 11 (1999), S

Compliance-Nachweise bei Outsourcing von IT-Aufgaben

Compliance-Nachweise bei Outsourcing von IT-Aufgaben Institut für Wirtschaftsinformatik der Universität Bern Arbeitsbericht Nr. 190 Compliance-Nachweise bei Outsourcing von IT-Aufgaben Gerhard F. Knolmayer August 2006 Die Arbeitsberichte des Institutes für

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

(Un)mögliche Prüfung von Outsourcing

(Un)mögliche Prüfung von Outsourcing (Un)mögliche Prüfung von Outsourcing Michel Huissoud lic. iur, CISA, CIA zugelassener Revisionsexperte RAB Vizedirektor, Eidgenössische Finanzkontrolle, www.efk.admin.ch Mitglied des Fachstabs für Informatik

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Prozess Dimension von SPICE/ISO 15504 Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f.

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f. Arbeitskreis Rechnungslegung des Deutschen Steuerberaterverbands e.v. Littenstraße 10 10179 Berlin Tel: 030/278 76-2 Fax: 030/278 76-799 Mail: rechnungslegung@dstv.de B 01/13 vom 31.05.2013 Entwurf einer

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien Der heilige Gral des Service Management Was ist ein Standard? Was ist Best / Good Practice? Standard

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Erfahrungen mit SOA - 404 aus Sicht der T-Systems IT-Revision 11. März 2005 Heidelberg Dr. Josef Kisting

Erfahrungen mit SOA - 404 aus Sicht der T-Systems IT-Revision 11. März 2005 Heidelberg Dr. Josef Kisting Erfahrungen mit SOA - 404 aus Sicht der T-Systems IT-Revision 11. März 2005 Heidelberg Dr. Josef Kisting Erfahrungen mit SOA 404 aus Sicht der T-Systems IT Revision. Agenda. T-Systems Shared Service Center

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten?

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten? Dem Audit Committee obliegt es, die Wirtschaftsprüfer zu bestellen, aber auch als Anlaufstelle für Informationen über evtl. Beschwerden und Unregelmäßigkeiten der Rechnungslegung innerhalb des Unternehmens

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de

TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de Normen und Standards TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de (...ITSM 3 Assessment, ITIL-, ISO 20000-Know How, Trainer für itsmf

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

IT-Compliance Management und Identity Management Aktuelle Trends

IT-Compliance Management und Identity Management Aktuelle Trends IT-Compliance Management und Identity Management Aktuelle Trends Kurzbefragung Deutschland, April 2009 Matthias Zacher Senior Advisor matthias.zacher@experton-group.com Inhalt Themenabgrenzung Stichprobencharakteristika

Mehr

SERVIEW: ITIL und Compliance

SERVIEW: ITIL und Compliance SERVIEW: ITIL und Compliance Seite 1 /7 ITIL und Compliance Definition des Begriffs Compliance (Quelle: Wikipedia): In der betriebswirtschaftlichen Fachsprache wird der Begriff Compliance verwendet, um

Mehr

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Axept für Kunden und Partner AX After Hours Seminar ISACA Switzerland Chapter 29.5. V1.0_2006 Seite 1 Agenda Die

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Leibniz Universität Hannover Services Juni 2009. PwC

Leibniz Universität Hannover Services Juni 2009. PwC Leibniz Universität Hannover Services Juni 2009 PwC Agenda PwC Das interne Kontrollsystem Unser Prüfungsansatz Diskussion und Fragen PricewaterhouseCoopers PwC Daten und Fakten PricewaterhouseCoopers International

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe ISO/IEC 27001/2 Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe 1 ISO Survey of Certifications 2009: The increasing importance organizations give to information security was

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

15. Compliance Netzwerktreffen

15. Compliance Netzwerktreffen 15. Compliance Netzwerktreffen Die CMS-Prüfung nach IDW PS 980 Dr. Martin Walter, Director Group Compliance Warum externe Prüfung? Das Ziel einer externen Prüfung des Compliance Management Systems ist

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB IT-Compliance und Governance-Anforderungen an Unternehmen Mag Stefan Werle, WP/StB IT-Compliance - Definition IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen

Mehr

Brainloop Secure Boardroom

Brainloop Secure Boardroom Brainloop Secure Boardroom Efficient and Secure Collaboration for Executives Jörg Ganz, Enterprise Sales Manager, Brainloop Switzerland AG www.brainloop.com 1 Is your company at risk of information leakage?

Mehr

GIPS 2010 Gesamtüberblick. Dr. Stefan J. Illmer Credit Suisse. Seminar der SBVg "GIPS Aperitif" 15. April 2010 Referat von Stefan Illmer

GIPS 2010 Gesamtüberblick. Dr. Stefan J. Illmer Credit Suisse. Seminar der SBVg GIPS Aperitif 15. April 2010 Referat von Stefan Illmer GIPS 2010 Gesamtüberblick Dr. Stefan J. Illmer Credit Suisse Agenda Ein bisschen Historie - GIPS 2010 Fundamentals of Compliance Compliance Statement Seite 3 15.04.2010 Agenda Ein bisschen Historie - GIPS

Mehr

ISACA/SVIR Konferenz. Gesteigerte Qualität der Internen Revision durch gezielte Fitnesstests. Zürich, 19. November 2013

ISACA/SVIR Konferenz. Gesteigerte Qualität der Internen Revision durch gezielte Fitnesstests. Zürich, 19. November 2013 ISACA/SVIR Konferenz Gesteigerte Qualität der Internen Revision durch gezielte Fitnesstests Zürich, 19. November 2013 Seite 2 Vorstellung Agenda Rahmenbedingungen & Einflussfaktoren Fitnesstests Übersicht,

Mehr

as4 SOX Compliance der AEB Gesellschaft zur Entwicklung von Branchen-Software mbh

as4 SOX Compliance der AEB Gesellschaft zur Entwicklung von Branchen-Software mbh as4 SOX Compliance der AEB Gesellschaft zur Entwicklung von Branchen-Software mbh Stand: 13.11.2013 1 Grundsätzliches Aufgrund der Anforderungen an ServiceProvider, die vor allem im Abschnitt 404 des

Mehr

Unternehmenspräsentation. 2007 Raymon Deblitz

Unternehmenspräsentation. 2007 Raymon Deblitz Unternehmenspräsentation 2007 Raymon Deblitz Der zukünftige Erfolg vieler Unternehmen hängt im Wesentlichen von der Innovationsfähigkeit sowie von der Differenzierung ab Vorwort CEO Perspektive Anforderungen

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

Bietet CMMI einen Mehrwert zu CobiT?

Bietet CMMI einen Mehrwert zu CobiT? 1 Von ISACA für ISACA Fachvorträge für alle Mitglieder Bietet CMMI einen Mehrwert zu CobiT? Oliver Wildenstein Fachgruppe CobiT-CMMI 11. März 2011 2 Agenda FG CobiT-CMMI: Mitglieder, Aufgabe, Zielgruppe

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL) Zertifikatslehrgang IT Service Management (ITIL) IHK-Lehrgang IT Service Management (ITIL) Termin: 01.06.2012 bis 16.06.2012 IT12090 Ort: Industrie- und Handelskammer Erfurt Arnstädter Str. 34 99096 Erfurt

Mehr

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz Reifegradmodelle Skiseminar Software Engineering Robin Schultz Agenda Grundlagen Die IT Infrastructure Library Entwicklung Aufbau Kritik Kombination mit anderen Modellen Praktischer Einsatz Fazit und Ausblick

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Process Management Office Process Management as a Service

Process Management Office Process Management as a Service Process Management Office Process Management as a Service Unsere Kunden bringen ihre Prozesse mit Hilfe von ProcMO so zur Wirkung, dass ihre IT- Services die Business-Anforderungen schnell, qualitativ

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis

Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis E-Gov Fokus Geschäftsprozesse und SOA 31. August 2007 Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis Der Vortrag zeigt anhand von Fallbeispielen auf, wie sich SOA durch die Kombination

Mehr

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks)

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

Fall 4: Standard Software falsch behandelt

Fall 4: Standard Software falsch behandelt Fall 4: Standard Software falsch behandelt Bernhard Hamberger Partner Ernst & Young, Bern 4: Standard-Software falsch behandelt Fehlende Prüfungshandlungen im Bereich ERP-Systeme Das Unternehmen hat ein

Mehr

EIOPA(BoS(13/164 DE. Leitlinien für die Beschwerdebearbeitung durch Versicherungsvermittler

EIOPA(BoS(13/164 DE. Leitlinien für die Beschwerdebearbeitung durch Versicherungsvermittler EIOPA(BoS(13/164 DE Leitlinien für die Beschwerdebearbeitung durch Versicherungsvermittler EIOPA WesthafenTower Westhafenplatz 1 60327 Frankfurt Germany Phone: +49 69 951119(20 Fax: +49 69 951119(19 info@eiopa.europa.eu

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Junisphere Systems AG 23.11.2010. Aligning Business with Technology. One step ahead of Business Service Management. Intelligentes ITSM

Junisphere Systems AG 23.11.2010. Aligning Business with Technology. One step ahead of Business Service Management. Intelligentes ITSM Aligning Business with Technology One step ahead of Business Service Management Intelligentes ITSM Agenda Junisphere s Lösung Use cases aus der Praxis Zentrale Informatik Basel-Stadt ETH Zürich Ausblick

Mehr

DOT. implantsource. Qualitätsmanagement. Innovative Produkte für die Medizin. Prof. Dr. H.- G.Neumann DOT

DOT. implantsource. Qualitätsmanagement. Innovative Produkte für die Medizin. Prof. Dr. H.- G.Neumann DOT DOT implantsource Qualitätsmanagement Innovative Produkte für die Medizin Prof. Dr. H.- G.Neumann DOT Medizinprodukt - Begriff Medizinprodukte Medizinprodukte nach 3 MPG sind alle einzeln oder miteinander

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Anforderungen, KEFs und Nutzen der Software- Prozessverbesserung

Anforderungen, KEFs und Nutzen der Software- Prozessverbesserung Process flow Remarks Role Documents, data, tool input, output Important: Involve as many PZU as possible PZO Start Use appropriate templates for the process documentation Define purpose and scope Define

Mehr

etom enhanced Telecom Operations Map

etom enhanced Telecom Operations Map etom enhanced Telecom Operations Map Eigentümer: Telemanagement-Forum Adressaten: Telekommunikationsunternehmen Ziel: Industrieeigenes Prozessrahmenwerk Verfügbarkeit: gegen Bezahlung, neueste Version

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012 ZUVERLÄSSIGE UND EFFIZIENTE ZERTIFIZIERUNGEN: TOOLUNTERSTÜTZES, INTEGRIERTES MANAGEMENTSYSTEM ZUR COMPLIANCE MIT REGULARIEN IM QUALITÄTS- UND RISIKOMANAGEMENT 4. PQM-Dialog: Qualitätszertifizierungen Vorgehen

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr

Gemeinsam mehr erreichen.

Gemeinsam mehr erreichen. Gemeinsam mehr erreichen. Microservices in der Oracle SOA Suite Baden 10. September 2015 Ihr Ansprechpartner Carsten Wiesbaum Principal Consultant carsten.wiesbaum@esentri.com @CWiesbaum Schwerpunkte:

Mehr

Wie agil kann Business Analyse sein?

Wie agil kann Business Analyse sein? Wie agil kann Business Analyse sein? Chapter Meeting Michael Leber 2012-01-24 ANECON Software Design und Beratung G.m.b.H. Alser Str. 4/Hof 1 A-1090 Wien Tel.: +43 1 409 58 90 www.anecon.com office@anecon.com

Mehr

IT Service Management in Zeiten von!-sox

IT Service Management in Zeiten von!-sox IT Service Management in Zeiten von!-sox BA mc & Cirquents Antworten auf die Herausforderungen der 8. EU-Richtlinie an die IT Service Organisation BMW Group Company Agenda 1 2 3 4 5 Einführung Treiber

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Information-Governance

Information-Governance Information-Governance - Herausforderungen in verteilten Umgebungen - Wolfgang Johannsen IT GovernancePractice Network c/o Frankfurt School of Finance & Management Sonnemannstraße 9-11 60314 Frankfurt

Mehr

Group and Session Management for Collaborative Applications

Group and Session Management for Collaborative Applications Diss. ETH No. 12075 Group and Session Management for Collaborative Applications A dissertation submitted to the SWISS FEDERAL INSTITUTE OF TECHNOLOGY ZÜRICH for the degree of Doctor of Technical Seiences

Mehr