Compliance-Nachweise bei Outsourcing von IT-Aufgaben

Größe: px
Ab Seite anzeigen:

Download "Compliance-Nachweise bei Outsourcing von IT-Aufgaben"

Transkript

1 WI State-of-the-Art Compliance-Nachweise bei Outsourcing von IT-Aufgaben Der Autor Gerhard F. Knolmayer Prof. Dr. Gerhard F. Knolmayer Universität Bern Institut für Wirtschaftsinformatik Engehaldenstraße Bern Schweiz Eingereicht am , nach drei Ûberarbeitungen angenommen am durch Prof. Dr. W. König. 1 Einleitung Beeinflusst vom Fehlverhalten einiger Unternehmen haben sich Gesetzgeber und Regulatoren in den letzten Jahren veranlasst gesehen, teilweise sehr weit reichende Anforderungen an korrekte Unternehmensführung zu formulieren. Die von den Regulierungen betroffenen Unternehmen sollen gesetzliche und behördliche Vorschriften, Richtlinien und interne Vorgaben erfüllen, also compliant sein. Die zugehörigen Nachweise sollen den Stakeholdern des Unternehmens eine höhere Transparenz über den Ablauf wichtiger Prozesse verschaffen und auf diese Weise Risiken reduzieren. Um den neuen Regulierungen entsprechen zu können, müssen die eingesetzten Informations- und Kommunikations (ICT)-Systeme gewissen, in den Vorschriften nicht sehr klar umschriebenen, Anforderungen genügen. Aus diesem Grund finden Compliance-Fragen in IT-Bereichen und die damit eng verbundene IT-Governance neuerdings große Beachtung. In [Hurl06, 11] wird auf Basis einer Umfrage der Anteil der in IT-Bereichen für Compliance-Nachweise aufgewendeten Zeiten auf 34 % geschätzt. Regulations- und Compliance-Fragen sind z. B. in Banken zu einem zentralen Thema der Unternehmensführung geworden. Dieser Beitrag beschäftigt sich damit, wie sich eine Auslagerung von Aufgaben, deren ordnungsgemäße Ausführung nachgewiesen werden muss, auf die Erbringung dieser Nachweise auswirkt. Er zeigt die Notwendigkeit, die Vorlage von Compliance-Nachweisen mit den beauftragten Unternehmen vertraglich zu vereinbaren und beschäftigt sich damit, wie Outsourcing-Dienstleister diese Nachweise erbringen können. Zudem werden die möglichen Auswirkungen verstärkter Regulierungen auf Häufigkeit und Umfang von Outsourcing diskutiert. Betrachtet man die Rechts- und Kommunikationsbeziehungen bei Auslagerung Compliance-relevanter Aufgaben, so kann (in Anlehnung an die kompakte amerikanische Terminologie) zwischen der User Organization (der auslagernden Unternehmung; dem Leistungsbezieher; der zu prüfenden entity ), dem User Auditor (dem Wirtschaftsprüfer der auslagernden Unternehmung), der Service Organization (dem Dienstleister; dem Leistungserbringer) und dem Service Auditor (dem Wirtschaftsprüfer des Leistungserbringers; dem anderen Prüfer ) unterschieden werden [AICP06, xv]. In Abschnitt 2 dieses Beitrags werden Ausprägungsformen von Outsourcing kurz zusammengefasst. Abschnitt 3 verweist auf einige besonders aktuelle Anforderungen an die Unternehmensführung, auf daraus an ICT-Systeme resultierende Vorgaben und auf (Quasi-)Standards zur Erfüllung dieser Vorgaben. Abschnitt 4 beschäftigt sich damit, wie diese Anforderungen bei Kernpunkte Informations- und Kommunikationssysteme sind zu einem zentralen Element von Compliance-Nachweisen und -Prüfungen geworden. Bei Outsourcing Compliance-relevanter Aufgaben bleibt die Verantwortung beim auslagernden Unternehmen und seinem Prüfer. Mehrfachprüfungen der Outsourcing-Dienstleister sollen durch SAS 70 Reports vermieden werden. Insbesondere bei Auslagerung in das Ausland (Nearshoring, Offshoring) können komplexe Rechts- und Kommunikationsbeziehungen entstehen. Ob die zunehmende Regulierungsdichte Outsourcing fördert oder behindert, lässt sich derzeit kaum abschätzen. Stichworte: Compliance, Nearshoring, Offshoring, Outsourcing, Sarbanes-Oxley Act, SAS 70 Reports, Wirtschaftsprüfung

2 Compliance-Nachweise bei Outsourcing von IT-Aufgaben 99 Auslagerung von IT-Aufgaben zu berücksichtigen sind. In Abschnitt 5 wird erörtert, ob Compliance-Anforderungen eine Auslagerung von IT-Aufgaben in das Ausland eher fördern oder bremsen. Abschnitt 6 zieht Folgerungen aus den dargestellten Sachverhalten. 2 Offshoring und Nearshoring als Spezialformen des Outsourcings Unter Outsourcing von Informationssystemen verstehen wir die mittel- und langfristige Auslagerung einzelner oder aller bisher innerbetrieblich erfüllter Aufgaben der Informationsverarbeitung an einen rechtlich unabhängigen Dienstleister [MeKn98, 17]. Die Auslagerung ganzer Geschäftsprozesse (Business-Process-Outsourcing, BPO) ist im betrachteten Zusammenhang dann relevant, wenn auch IT- Prozessschritte betroffen sind. Abschnitt 3 zeigt, dass die Nachweis-Pflichten bei Outsourcing teilweise auf den Leistungserbringer übergehen. Die damit verbundenen Prüfprozesse können in verschiedenen Rechtsordnungen unterschiedlich streng gehandhabt werden, sodass insbesondere bei Auslagerungen in das Ausland [u. a. Mert04; Mert05; MeGW05; AsMV06] die beigebrachten Nachweise kritisch überprüft werden müssen. Erheblich unterschiedliche Rechtsordnungen werden z. B. dann relevant, wenn Aufgaben an in Asien domizilierte IT-Dienstleister (Offshoring) oder in Osteuropa positionierte Leistungserbringer (Nearshoring) ausgelagert werden. Aufsichtsbehörden und Wirtschaftsprüfer haben sich mit der Erfüllung von Compliance-Nachweisen seit längerem auseinandergesetzt. In Verbindung mit dem in den USA 2002 beschlossenen und erstmals 2005 angewandten Sarbanes- Oxley Act (SOX) muss sich eine (auch) die Aufgaben von CIOs thematisierende Wirtschaftsinformatik mit diesem Problemkreis stärker als bisher auseinandersetzen [HeAu06]. Aktuelle Fragen sind: Wird der SOX bewirken, dass Outsourcing generell oder für bestimmte Aufgaben nicht mehr zulässig ist? Erhöht der SOX die Kosten des Outsourcings? Oder reduziert Outsourcing die Kosten der Erfüllung von Compliance-Nachweisen? [MeGa04]. Werden IT-Aufgaben ausgelagert, so leitet sich aus der Forderung nach IT-Governance jene nach Outsourcing Governance ab. Lagert der inländische IT-Dienstleister Aufgaben ins Ausland aus oder wird er von einem ausländischen Unternehmen übernommen, so kann eine vom Leistungsbezieher als inländisches Outsourcing konzipierte Auslagerung zu einer Offshoringoder Nearshoring-Beziehung werden. 3 Compliance-Anforderungen an Informations- und Kommunikationssysteme Dieser Abschnitt gibt zunächst einen Ûberblick über besonders wichtige oder aktuell verschärfte Vorschriften, zu denen Unternehmen Compliance nachweisen müssen. Sodann verweisen wir auf Prozessmodelle, welche den Unternehmen Orientierungshilfen für den Nachweis dieser Anforderungen geben, und auf unterstützende Tools. 3.1 Vorschriften Im Folgenden stehen grundlegende Zusammenhänge, nicht aber die oft subtilen Unterschiede z. B. zwischen internationalen und nationalen Prüfungsstandards, im Vordergrund. Die an ICT-Systeme gestellten Anforderungen unterscheiden sich nach Branchen und Rechtsordnungen. Sie können (wie z. B. Datenschutzvorschriften, unternehmensinterne Regelungen über akzeptablen Umgang mit dem Internet oder Speicherpolitiken für s) unmittelbaren Bezug zu ICT-Systemen aufweisen. Da immer mehr Geschäftsprozesse computergestützt ablaufen, sind ICT-Systeme aber auch mittelbar für den Nachweis der Einhaltung anderer Vorschriften (z. B. der Ordnungsmäßigkeit des Rechnungswesens oder der Qualitätskontrolle) von zentraler Bedeutung. Bei der Prüfung von Jahresabschlüssen besitzt die Prüfung von ICT-Systemen eine zentrale Rolle: Der Wirtschaftsprüfer hat gemäß [IDW02] das IT-Umfeld, die IT- Organisation, die IT-Infrastruktur, die IT- Anwendungen, IT-gestützte Geschäftsprozesse, das IT-Ûberwachungssystem sowie das IT-Outsourcing zu prüfen. Auch die interne Revision, welche nach [AICP06, 1] u. a. die Compliance mit gesetzlichen und regulatorischen Vorschriften überprüfen muss, konzentriert sich immer mehr auf ICT-Systeme. Auf spezifische Prüf-Methoden und Vorgehensweisen kann an dieser Stelle nicht eingegangen werden; detaillierte Informationen dazu vermitteln u. a. [Phil98; Cham03; IDW05; Path05]. Die Bestimmungen zur Jahresabschlussprüfung wurden z. B. in Deutschland durch das Gesetz über Kontrolle und Transparenz im Unternehmensbereich und für an US-Börsen notierte Gesellschaften durch den SOX verschärft. Letzterer gilt formal für alle an US-Börsen notierten Gesellschaften und ihre wesentlichen Beteiligungen, ist aber de facto weit darüber hinaus von Bedeutung [TreuoJ; Arbe04; KnWe06]. Bei hohen Strafandrohungen fordert Section 404 des SOX vom CEO und CFO im Rahmen der jährlichen Berichterstattung eine Beurteilung der Effektivität der... company s internal control structure and procedures for financial reporting. Section 404 also requires the company s auditor to attest to, and report on management s assessment of the effectiveness of the company s internal controls and procedures for financial reporting in accordance with standards established by the Public Company Accounting Oversight Board [SEC03]. Die Prüfer haben also zum Bericht des Managements Stellung zu nehmen. Die nachweispflichtigen Unternehmen haben alle realisierten Kontrollschritte zu dokumentieren. Die bei erstmaligen Compliance-Nachweisen oft manuell ausgeführten Kontrollschritte werden aus Sicherheits- und Kostengründen zunehmend automatisiert. Schon jetzt werden rund % der vorgesehenen Kontrollschritte in IT-Systemen abgewickelt [Schi05]; dies erklärt die erheblichen Auswirkungen des SOX auf Gestaltung, Betrieb und Wartung der ICT-Systeme [Sarb04; BuRi05; Dami05; KnWe06]. Daneben existieren zahlreiche Vorschriften mit teilweise nur lokaler oder branchenspezifischer Bedeutung. Regulierungen wie Basel II, Solvency II, die EU- Richtline MiFID ( Markets in Financial Instruments Directive ), die Vereinheitlichung des Zahlungsverkehrs in der EU gemäß SEPA (Single Euro Payments Area) und die mehr als 1000 Seiten umfassende EU-Verordnung zur Registrierung, Bewertung, Zulassung und Beschränkung chemischer Stoffe (REACH) werden demnächst wirksam und ebenfalls Auswirkungen auf ICT-Systeme und ihre Prüfung besitzen. Unternehmen, die große Anstrengungen auf sich nehmen müssen, um zu einer Vielzahl neuer und oft unklarer Bestimmungen compliant zu werden, wissen oft nicht, ob ihre Vorgehensweisen korrekt sind. Was im Zusammenhang mit dem

3 100 Gerhard F. Knolmayer Health Insurance Portability and Accountability Act (HIPAA) formuliert wird, gilt ähnlich auch für andere Anforderungen: Unfortunately, the technical requirements are buried well within mountains of information found in the HIPAA legislation, the interpretation of various experts, and government and private websites [NaBu03, 7]. Aus der Pharmaindustrie wird über einen erheblichen Zuwachs externer Prüfungen berichtet, der weder für die Pharma-Unternehmen noch für ihre Lieferanten zu bewältigen sei. Es gibt redundante Prüfungen, ihre durchschnittliche Dauer habe sich seit 1996 verdoppelt und die Kompetenz der Prüfer halte mit den technischen Weiterentwicklungen nicht Schritt [PDAS04]. 3.2 Orientierungshilfen Die SEC fordert, dass das Management seiner Beurteilung der internen Kontrollsysteme ein geeignetes, in der Fachwelt akzeptiertes Framework zugrunde legt [SEC03]. In der deutschsprachigen Wirtschaftsinformatik entwickelte Referenzmodelle haben in diesem internationalen Kontext leider kaum Beachtung gefunden. Mehrere Frameworks, Vorgehensmodelle und Reifegradmodelle schlagen Norm-Prozesse und best practices vor. Dazu gehören insbesondere das vom Committee of Sponsoring Organizations of the Treadway Commission bereits 1992 entwickelte und bisher vor allem in den USA beachtete COSO- Framework, das sich insbesondere mit der Gestaltung interner Kontrollsysteme beschäftigt und im SOX-Umfeld zu einem De-facto-Standard geworden ist, das von der ISACA ursprünglich 1995 veröffentlichte und derzeit in Release 4.0 vorliegende CobiT (Control Objectives for Information and related Technology)-Framework, das IT-Systeme detaillierter als COSO betrachtet und in den vier Domänen Planung und Organisation, Beschaffung und Einführung, Auslieferung und Unterstützung sowie Ûberwachung insgesamt 34 Prozesse definiert, zu denen u. a. die im betrachteten Umfeld sehr relevanten Prozesse Monitor and Evaluate Internal Control, Ensure Regulatory Compliance und Provide IT Governance gehören, die ursprünglich von der britischen Central Computer and Telecommunications Agency (CCTA) seit 1989 entwickelte Information Technology Infrastructure Library (ITIL), die einen Schwerpunkt auf das Service Management legt und insbesondere in Europa weite Aufmerksamkeit findet, die auf ITIL bzw. British Standard aufbauenden Normen ISO/IEC 20000, die Anforderungen und Verfahrensregeln für IT-Dienstleister und deren Prüfer formulieren, Standards zu Information Security Management Systems (wie ISO/IEC oder 27001), die Anforderungen an die IT-Sicherheit und zugehörige Prozesse sowie rund 130 Baseline Controls definieren und das vom Software Engineering Institute der Carnegie Mellon University entwickelte Capability Maturity Model (CMM), das 2001 zu dem Integrationsbedürfnisse betonenden CMMI weiter entwickelt wurde. Unterschiede und inhaltliche Ûberschneidungen der Frameworks werden nicht einmal für einen bestimmten Zeitpunkt einhellig interpretiert [Glen03; Gray04, 38; Sewe05, 56f.]. Die damit verbundene Unsicherheit verstärkt sich noch durch die Weiterentwicklungen der Frameworks. Die CobiT-Prozesse sind zudem so umfangreich definiert, dass eine vollständige Umsetzung aller Prozessschritte kaum wirtschaftlich sein wird. Zur Relativierung der Anforderungen definiert CobiT sechsstufige Reifegradmodelle; beispielsweise werden für den hier besonders interessierenden Prozess Ensure Regulatory Compliance die Stufen 0...Non-existent 1...Initial/Ad hoc 2...Repeatable but Intuitive 3...Defined Process 4...Managed and Measurable 5...Optimised unterschieden [ITGI05, 166]. Damit stellt sich die Frage, wie Management und Wirtschaftsprüfer die nur selten den maximalen Reifegrad erreichenden ICT-Systeme hinsichtlich Compliance bewerten sollen: Welcher Reifegrad wird zur Erfüllung der Compliance-Anforderungen vorausgesetzt? Prüfungsgesellschaften haben eigene Vorgehensmodelle (z. B. KPMG: Streamlining SOX 404 Compliance ; PWC: Enterprise Risk Management Integrated Framework ) entwickelt. Dies kann bei Zusammenarbeit mehrerer Prüfer (vgl. Abschnitt 4.3) dazu führen, dass auf Grund der unterschiedlichen Standards, Frameworks und Vorgehensmodelle Aussagen gemacht werden, die bei Anlegung eines anderen Maßstabes nicht zutreffen würden. IT-Anwender sollten daher zeitgerecht mit ihren Wirtschaftsprüfern die Anforderungen abklären, welche von diesen in der Prüfung an ordnungsgemäße Gestaltung, Betrieb und Wartung von ICT-Systemen gelegt werden. 3.3 Software-Unterstützung für interne Kontrollsysteme Am Beispiel der SAP-Systeme wird skizziert, wie Software-Lösungen das interne Kontrollsystem und damit Compliance- Nachweise unterstützen können: In SAP R/3 sind inhärente und konfigurierbare Kontrollen vorgesehen. Zur ersten Gruppe zählen die Verknüpfung der Belege eines Geschäftsfalls, die sofortige Aktualisierung von Haupt- und Nebenbuchhaltung, die Protokollierung von Programm- und Konfigurationsänderungen sowie das Monitoring der Transaktionsnutzung. Beim Customizing können z. B. Muss-Felder definiert, Toleranzschwellen festgelegt und benutzerdefinierte Fehlerund Warnmeldungen vorgesehen werden. Vordefinierte Standardberichte unterstützen die Berichtskontrolle, das Audit Information System die Prüfungsprozesse [SiSt06, 62f.]. In mysap ERP Financials wird zusätzlich ein Tool Management of Internal Controls (MIC) angeboten, dessen Entstehung auf den SOX zurückzuführen ist. MIC unterstützt interne Kontrollsysteme durch ein Prozessmodell, in dem folgende Phasen unterschieden werden [SAPoJ]: (1) Scoping und Projektstart (2) Dokumentation interner Kontrollen (3) Selbstbeurteilung der internen Kontrollen (4) Beurteilung der Managementkontrollen für Prozessgruppen und Organisationseinheiten (5) Test der Wirksamkeit der Kontrollen (6) Reporting, Sign Off. Den Umfang von internen Kontrollsystemen und ihren Bezug zu ICT-Systemen veranschaulicht folgendes Beispiel: In einem Konzern werden rund 100 Organisationseinheiten in der MIC-Hierarchie abgebildet. Ein zentraler Katalog unterscheidet 13 Prozessgruppen mit rund 70 Prozessen; je Prozess sind 20 Musterkontrollen definiert. Insgesamt werden mehr als Organisationseinheitenspezifische Kontrollen angewandt [SiSt06, 69f.].

4 Compliance-Nachweise bei Outsourcing von IT-Aufgaben Auslagerung Compliancerelevanter Aufgaben Dieser Abschnitt beschäftigt sich damit, wie Compliance dann nachgewiesen werden kann, wenn relevante Prozessschritte ausgelagert wurden. In [BITK06, 24] wird die Relevanz verschiedener Compliance- Vorschriften im Hinblick auf IT-Outsourcing beurteilt. Die Leistungserbringer können von Prüfern SAS 70 Reports erstellen lassen, um den Informationsbedürfnissen ihrer Auftraggeber und deren User Auditors entsprechen zu können [AICP06]. Eine kritische Analyse dieses Instruments zeigt u. a., dass die Auslagerung ins Ausland sowie ein starkes Ausmaß an horizontaler oder vertikaler Arbeitsteilung die Vorlage aussagekräftiger Berichte erschwert. 4.1 Nachweispflichten trotz Auslagerung Vor Verschärfung der Compliance-Anforderungen wurde oft davon ausgegangen, dass das auslagernde Unternehmen nur bestimme, was der Dienstleister zu erbringen habe, es aber diesem überlassen sei, wie diese Leistungen erbracht werden. Diese Sichtweise kann bei Auslagerung Compliance-relevanter Aufgaben nicht aufrechterhalten werden, weil das auslagernde Unternehmen sicherstellen muss, dass die Vorgehensweisen des Leistungserbringers den Ansprüchen des Gesetzgebers und der Regulatoren entsprechen. Unternehmen können sich ihren Nachweispflichten nicht durch Auslagerung entziehen. So stellt die Eidgenössische Bankenkommission (EBK) bereits 1999 fest: Die Unternehmung ist gegenüber der Aufsichtsbehörde auch für die ausgelagerten Geschäftsbereiche verantwortlich, wie wenn sie diese selbst betreiben würde [EBK99, 3]. Analog, aber mit stärkerem Bezug auf IT-Systeme, formuliert das (auf Basis des SOX etablierte) Public Company Accounting Oversight Board (PCAOB) in Auditing Standard No. 2: The use of a service organization does not reduce management s responsibility to maintain effective internal control over financial reporting und If the service organization s services are part of the company s information system..., then they are part of the information and communication component of the company s internal control over financial reporting [PCAO04, 249]. 4.2 Einschränkungen und Voraussetzungen für Auslagerungen Einschränkungen für Outsourcing und insbesondere für Verlagerungen ins Ausland bestehen vor allem für Finanzdienstleister [HaHS00]. In Deutschland verbietet das auf 25a (2) Kreditwesengesetz beruhende Rundschreiben 11/2001 der Bundesanstalt für Finanzdienstleistungsaufsicht die Auslagerung originärer Leitungsaufgaben wie Unternehmensplanung, -organisation, -steuerung und -kontrolle; bei größeren Banken darf auch die Interne Revision nicht vollständig ausgelagert werden. Zudem darf die Gesamtheit der bei Einzelbetrachtung auslagerungsfähigen Bereiche die in der Bank verbleibenden an Umfang und Bedeutung nicht deutlich übertreffen. Für Weiterverlagerungen an Subunternehmer muss das auslagernde Institut vertraglich einen Zustimmungsvorbehalt vereinbaren [Bund01]. Die Prüfrechte der Internen Revision, der Abschlussprüfer und des Bundesaufsichtsamts müssen durch eine Duldungserklärung des Leistungserbringers bestätigt werden. Bei Auslagerungen ins Ausland muss die Rechtsordnung des ausländischen Staates, in dem der Leistungserbringer domiziliert ist, solche Prüfungen erlauben. Der Abschlussprüfer hat zur Ordnungsmäßigkeit der Auslagerung und zu jeder Auslagerungsmaßnahme Stellung zu nehmen [Bund01]. Ein Rundschreiben der EBK verlangt, dass Outsourcing-Lösungen den Erfordernissen einer angemessenen Organisation, des Bankgeheimnisses und des schweizerischen Datenschutzes entsprechen. Intern ist festzulegen, welche Stelle für die Kontrolle des Leistungserbringers verantwortlich ist; seine Leistungen sind fortlaufend zu überwachen und zu beurteilen, so dass allfällig notwendige Maßnahmen sofort ergriffen werden können. Die Bank muss die nötigen Einsichts-, Weisungs- und Kontrollrechte vertraglich vereinbaren. Prüftätigkeiten können an den Wirtschaftsprüfer des Leistungserbringers delegiert werden, sofern dieser über die notwendigen Kompetenzen verfügt [EBK99]. 4.3 Prüfung ausgelagerter Compliance-relevanter Aufgaben Prüfrechte und -pflichten Das Institut der Wirtschaftsprüfer legt im Prüfungsstandard IDW PS 331 Regelungen für die Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen [IDW03] fest, die sich am International Standard on Auditing ISA 402 Audit Considerations Relating to Entities Using Service Organizations des International Auditing and Assurance Standards Boards orientieren. Grundsätzlich ist der User Auditor für die Prüfung des Gesamtsystems und damit auch der ausgelagerten Systeme der User Organization verantwortlich. Unter anderem obliegt dem User Auditor die Prüfung der Schnittstellen zwischen internen und ausgelagerten ICT-Systemen z. B. hinsichtlich Vollständigkeit, Genauigkeit und Freigabe übertragener Inputs, der Sicherstellung der Vollständigkeit und Richtigkeit erhaltener Outputs sowie der Zugangskontrollen zu den ausgelagerten Systemen [GeBa03, 72]. Bild 1 veranschaulicht einen Teil der bei Auslagerung Compliance-relevanter Aufgaben entstehenden Rechts- und Kommunikationsbeziehungen und die Sequenz, in der die Anforderungen und Berichte entstehen. Der Leistungserbringer kann die Compliance-relevanten Aufgaben auf Basis strikter Anweisungen des Auftraggebers oder auf Grund eigener Entscheidungen so erfüllen, dass ein vertraglich mit dem Leistungsbezieher vereinbartes Ergebnis erzielt wird. Im ersten Fall kann es ausreichen, im internen Kontrollsystem des auslagernden Unternehmens wirksame Regelungen zur Ûberwachung der Auslagerung einzurichten [IDW03, 1001]. Andernfalls muss sich der Leistungsbezieher auf das interne Kontrollsystem des Leistungserbringers verlassen. Der User Auditor muss beurteilen, ob die Tätigkeit des Leistungserbringers durch sein eigenes internes Kontrollsystem oder jenes des Leistungsbeziehers hinreichend überwacht wird. Deshalb sind vertraglich Prüfungs- und Kontrollrechte zu vereinbaren, damit sich der Leistungsbezieher bzw. sein Prüfer von der Angemessenheit und Wirksamkeit des internen Kontrollsystems beim Leistungserbringer überzeugen kann, soweit keine ausreichenden Prüfungsergebnisse Dritter vorliegen. Die Beurteilung kann auf Systemprüfungen der den Leistungserbringer betreffenden internen Kontrollen des Leistungsbeziehers, Verwertung des Berichts eines Service Auditors über die Wirksamkeit des internen Kontrollsystems des Leistungserbringers und eigenen Prüfhandlungen beim Leistungserbringer basieren. Ergänzend kann der User Auditor Prüfergebnisse des Service Auditors sowie Feststellungen der internen Revision

5 102 Gerhard F. Knolmayer des Leistungserbringers, von Sachverständigen und Aufsichtsbehörden berücksichtigen [IDW03, 1001]. Werden Ergebnisse des Service Auditors verwertet, so hat der User Auditor dessen berufliche Qualifikation und fachliche Kompetenz sowie die Qualität, Verwertbarkeit und Angemessenheit seiner Berichte zu beurteilen. Insbesondere muss der Service Auditor nach Art, Umfang und Zeitpunkt ausreichende Funktionsprüfungen vorgenommen haben [IDW03, 1001]. Er hat darzulegen, ob die Beschreibung des internen Kontrollsystems durch das Management richtig ist, die Kontrollen implementiert wurden und das interne Kontrollsystem angemessen ausgestaltet ist, um die Ziele zu erreichen [IDW03, 1002]. Der User Auditor hat dazu im Prüfungsbericht Stellung zu nehmen. Reichen die Informationen Dritter nicht aus, so muss der User Auditor nach [IDW03, 1001] selbst Informationen beim Leistungserbringer beschaffen oder diesen auffordern, einen Service Auditor mit Prüfungshandlungen zu betrauen. Im ersten Fall hat der Leistungsbezieher den Leistungserbringer aufzufordern, dem User Auditor Zugang zu den notwendigen Informationen zu gewähren. Im zweiten Fall sind die erforderlichen Prüfhandlungen nach Abstimmung zwischen dem Leistungsbezieher und seinem Prüfer durch den Leistungserbringer und den Service Auditor zu vereinbaren SAS 70 Reports Die oben angeführten Aktivitäten können insbesondere bei einem für mehrere Kunden international tätigen Leistungserbringer erheblichen Aufwand auslösen. Aus diesem Grund hat das AICPA bereits 1992 ein Statement for Auditing Standard SAS No 70 verabschiedet, das sich mit der Prüfung von Service Organizations auseinander setzt und vorsieht, dass ein Service Auditor SAS 70 Reports erstellen kann [AICP06]. Diese Reports existieren in zwei Ausprägungen. Ein (hier relevanter) SAS 70 Report vom Typ II bestätigt das Vorhandensein und die durch Tests festgestellte Effektivität der internen Kontrollen. SAS 70 Reports sind nicht etwa kurze Bestätigungen, sondern umfangreiche Dokumente. So nimmt ein SAS 70 Report für einen IT-Dienstleister zu folgenden Prüfgebieten Stellung: Physical Security Logical Authentication and Access Security Monitoring Systems Implementation Systems Enhancements and Maintenance Bild 1 Rechts- und Kommunikationsbeziehungen bei Outsourcing Compliancerelevanter Aufgaben Problem Management System Backup [Navi06]. Die Vorlage eines SAS 70 Reports soll ermöglichen, dass der User Auditor auf eigene Prüfungshandlungen beim Leistungserbringer verzichten kann. Diese Berichte waren vor Inkrafttreten des SOX wenig verbreitet, gewinnen aber nun an Bedeutung. Manche Leistungserbringer waren nicht in der Lage, SAS 70 Reports beizubringen; das Management der auslagernden Unternehmen musste darauf in den SEC Filings hinweisen [BaMc05]. Das Instrument der SAS 70 Reports wird aus mehreren Gründen kritisch beurteilt: Allgemeine Kritik Dieser obscure auditing standard [Schn04a] würde neuere Entwicklungen bei der Prüfung interner Kontrollsysteme insbesondere im Zusammenhang mit dem SOX schon auf Grund seines Alters zu wenig berücksichtigen. SAS 70 sei nicht IT-spezifisch, zu wenig technisch orientiert und Sicherheitsfragen würde zu wenig Aufmerksamkeit gewidmet [Leun03]. Kritik an unpräzisen Prüfobjekten SAS 70 kennt keine Maßnahmen- und Prüfungskataloge; das Prüfobjekt ist nicht präzise umschrieben, sondern wird vom Leistungserbringer festgelegt [AICP06, 34]. Der Service Auditor berichtet über vorgefundene Fehler, nicht aber über den Umfang seiner Prüfungen. Er kann zudem beim Leistungserbringer bestehende Risiken nicht ausreichend bewerten, weil ihm mögliche Auswirkungen des Risikoeintritts auf die Leistungsbezieher nicht bekannt sind. Haben der Leistungsbezieher und/ oder sein Prüfer spezifische Anforderungen an den SAS 70 Report, so muss der User Auditor diese zeitgerecht gegenüber dem Leistungserbringer formulieren, damit diese in den Prüfauftrag an den Service Auditor einbezogen werden können (vgl. Bild 1). Regulatorische Anforderungen unterscheiden sich nach Staat, Land und Branchen. Ein international und branchenübergreifend tätiger IT-Dienstleister kann daher mit einer Vielzahl zumindest teilweise unterschiedlicher Anforderungen konfrontiert sein [Cham03, 75; Hurl06]. Dies wird in Bild 2 durch unterschiedliche Strichlinien zum Ausdruck gebracht. Der Leistungserbringer muss die Vereinigungsmenge aller gestellten Anforderungen erfüllen, wenn der Service Auditor einen allgemein verwendbaren SAS 70 Report vorlegen

6 Compliance-Nachweise bei Outsourcing von IT-Aufgaben 103 soll. IBM hat einen Bericht über eine SAS 70-Prüfung rund 200 Kunden im Geschäftsbereich EMEA zur Verfügung gestellt; einige Kunden hatten speziell auf ihre Situation zugeschnittene Berichte gefordert [Math05, 163]. Zeitliche Koordination der Prüfhandlungen und -berichte Zwischen den Prüfungshandlungen des Service Auditors, dem Zeitpunkt der Berichterstattung des Leistungsbeziehers und dem Zeitpunkt der Prüfung durch den User Auditor bestehen zeitliche Abhängigkeiten. Da die Wirtschaftsjahre der Kunden eines Leistungserbringers voneinander abweichen können und die SAS 70 Reports zeitnah sein sollen, kann der Fall eintreten, dass (insbesondere nach Veränderungen im internen Kontrollsystem) der zuletzt vorliegende Bericht den Aktualitätsanforderungen nicht entspricht [Step03]. In diesem Zusammenhang stellt sich die Frage, ob der Leistungserbringer zu Quartalsprüfungen oder sogar zu nahezu kontinuierlichen Prüfungen ( Rolling audits ) verpflichtet ist, um seinen Kunden bzw. ihren Prüfern aussagefähige Berichte zur Verfügung stellen zu können. Bild 2 Bündelung multipler Anforderungen mehrerer Leistungsbezieher zur Erstellung eines einheitlichen SAS 70 Reports Ganzheitliche Beurteilung Für eine umfassende Risikomanagement- Beurteilung sind Daten aus verschiedenen Quellsystemen zusammenzutragen, zu bereinigen, auszuwerten und zu interpretieren. In der Diskussion um Entwicklungstendenzen im Outsourcing wird zuweilen unterstellt, die auslagernden Unternehmen würden vermehrt Best-of-Breed -Konzepte umsetzen und mit mehreren spezialisierten IT-Dienstleistern zusammen arbeiten (horizontale Arbeitsteilung). Dann resultieren die in Bild 3 dargestellten Leistungs- und Kommunikationsbeziehungen. Nehmen mehrere Leistungserbringer Compliance-relevante Aufgaben wahr, so vermittelt eine isolierte Berichterstattung über Vorgehensweisen und Kontrollmaßnahmen der einzelnen Leistungserbringer möglicherweise kein aussagefähiges Bild vom Gesamtsystem und der User Auditor muss trotz Vorliegen von SAS 70 Reports eigene Prüfhandlungen setzen. Zuweilen übertragen Outsourcing-Vertragspartner Compliance-relevante Aufgaben an Subservice Organizations [AICP06, 59f.]. Manchmal ist Vertragspartner des auslagernden Unternehmens eine in seinem Sitzstaat domizilierte Tochtergesellschaft eines ausländischen Outsour- Bild 3 Compliance-Beurteilung bei Beschäftigung mehrerer Leistungserbringer nach dem Best-of-Breed-Konzept

7 104 Gerhard F. Knolmayer cing-anbieters. Für Weiterverlagerungen an Subunternehmer sollte die auslagernde Unternehmung einen Zustimmungsvorbehalt vertraglich vereinbaren. Werden mehrere Subservice-Gesellschaften hintereinander geschaltet, so entsteht eine n-tier Supply Chain von Dienstleistungen (vertikale Arbeitsteilung). Eine isomorphe Kette von SAS 70 Reports wäre aber nur dann notwendig, wenn in jeder Stufe Compliancerelevante Aufgaben weiter verlagert werden. Da die auslagernde Unternehmung typischerweise keine Verträge mit den Subservice Organizations abschließt, sollte der (vertraglich gebundene) Tier-1-Leistungserbringer die Informationen über interne Kontrollen der Subservice Organizations bereitstellen, was zu extensiven Planungsund Kommunikationsprozessen führen kann. Erforderlichenfalls muss der User Auditor Prüfungshandlungen auch bei den Subservice Organizations vornehmen [AICP06, 61f.]. Unvereinbarkeitsregelungen Prüft eine Wirtschaftsprüfungsgesellschaft ein Unternehmen, so schließt dies die Erbringung bestimmter anderer Dienstleistungen für diesen Auftraggeber aus. Im betrachteten Umfeld können Unvereinbarkeiten zwischen User Auditor und Service Auditor entstehen [Schn04b]. Auch Aufgaben der Internen Revision können z. B. an einen externen Prüfer ausgelagert werden [WiSe99]. Da die Interne Revision ein Prüfobjekt des User Auditors darstellt, könnte auch über eine (teilweise) ausgelagerte Interne Revision ein SAS 70 Report durch einen Service Auditor angefordert werden. In diesem Fall beurteilt ein Wirtschaftsprüfer das Vorgehen eines anderen Wirtschaftsprüfers. 5 Auswirkungen von Compliance-Anforderungen auf den Umfang von Outsourcing In Verbindung mit dem SOX werden widersprüchliche Thesen über die Auswirkungen neuer regulatorischer Anforderungen auf den Umfang von Outsourcing- Aktivitäten und die Aufgabenverlagerung ins Ausland vertreten. Gesicherte empirische Evidenzen liegen noch nicht vor und sind schwierig zu gewinnen. Die Auslagerung Compliance-relevanter IT-Aufgaben an Dienstleister führt dazu, dass zur Erbringung der Nachweise notwendige Anpassungen im Rechnungswesen, in den internen Kontrollsystemen und den ICT-Systemen nicht im auslagernden Unternehmen vorgenommen werden müssen. Der Leistungserbringer kann dann, wenn die Compliance-Anforderungen mehrerer Kunden und ihrer Wirtschaftsprüfer (weitgehend) übereinstimmen, Economies of Scale realisieren, wie sie für wissensintensive Prozesse bei Outsourcing charakteristisch sind [MeKn98, 22f.]. Auf diese Weise können sich für die auslagernden Unternehmen Kostenvorteile bei Compliance-Nachweisen auch dann ergeben, wenn der Leistungserbringer ein Entgelt für die bei ihm notwendigen Veränderungen und die Bereitstellung eines SAS 70 Reports fordert. Eine gegenüber internen IT-Bereichen höhere Professionalität spezialisierter Leistungserbringer kann die Ausrichtung an den anspruchsvollen Frameworks erleichtern. Die Bedeutung von Zertifikaten haben die im Offshoring-Geschäft tätigen IT-Dienstleister erkannt: Rund 75 % der gemäß CMMI den höchsten Reifegrad von Informationssystemen aufweisenden Unternehmen sind in Indien domiziliert [Deut05, 6]. Die skizzierten Beziehungen zwischen den Geschäftsleitungen, den IT-Verantwortlichen der auslagernden Unternehmen, den Leistungserbringern sowie den internen und externen Prüfern ergeben ein komplexes Beziehungsgefüge, das der mit Outsourcing angestrebten Komplexitätsreduktion widerspricht. Die Kommunikationsund Beurteilungsprozesse und die gegebenenfalls erforderlichen Systemprüfungen z. B. bei einem indischen IT-Dienstleister können zu einem organisatorisch und fachlich anspruchsvollen, kostenintensiven Vorgang werden. Darüber hinaus kann die Notwendigkeit, Compliance-Nachweise vorzulegen, zu Einschränkungen der unternehmerischen Handlungsfreiheit führen: Einem Compliance-relevante Aufgaben auslagernden Unternehmen wurde von seinem User Auditor mitgeteilt, der geplante Wechsel des Leistungserbringers müsse zeitlich verschoben werden, da andernfalls Veränderungen in den internen Kontrollsystemen nicht zeitgerecht geprüft werden könnten [Meke05]. Gesetzgeber und Regulatoren wollen operationelle Risiken u. a. durch ein verpflichtend vorgeschriebenes Risiko-Management reduzieren. Diese Risiken steigen in vielen Fällen durch Outsourcing, insbesondere bei Auslagerungen ins Ausland [Base01; Djav05]; nach Basel II können daraus eine höhere Kapitalbindung und höhere Kapitalkosten resultieren. Zu den Risiken bei Outsourcing von Finanzdienstleistungen zählt [Base05, 11] Compliance- Risiken, insbesondere unzureichenden Datenschutz, mangelhafte Berücksichtigung von Konsumenten- und Aufsichtsrecht sowie unzureichende Kontrollsysteme des Leistungserbringers. Beschäftigen viele Unternehmen einer Branche den gleichen Leistungserbringer, so kommt es zu einer gesamtwirtschaftlich unerwünschten Risikokonzentration [Base05, 18f.]. Die mit Outsourcing verbundenen Zusatzrisiken müssen durch umfangreichere Kontrollprozesse kompensiert werden, um ein der internen Aufgabenerfüllung vergleichbares Sicherheitsniveau zu erreichen. Bei Beurteilung von Outsourcing-Vorhaben stellt sich somit die Frage, ob die durch Compliance-Regelungen angestrebte Risikoreduktion günstiger durch interne oder externe Erfüllung der dafür relevanten IT-Aufgaben erreicht werden kann. Mehr als 80 % sowohl der auslagernden Unternehmen als auch der Outsourcing- Anbieter nehmen an, dass gesetzgeberische Maßnahmen oder politischer Druck die Auslagerung ins Ausland beeinträchtigen können [BrWi05, 5]. Restriktive gesetzliche und aufsichtsrechtliche Rahmenbedingungen sind Ursache dafür, dass sich Unternehmen gegenüber Outsourcing zögerlich verhalten [PwC05, 25]. In der Schweiz führen die EBK-Regelungen dazu, dass Aufgaben, zu deren Erfüllung Kundendaten ins Ausland transferiert werden müssten, nicht ins Ausland verlagert werden können [Sont06]. Für manche kommt wegen der Vorschriften des SOX ein Outsourcing Compliance-relevanter Aufgaben nicht in Betracht oder es wird die Frage nach der Vereinbarkeit von Outsourcing und Compliance-Nachweisen aufgeworfen [Step03, 7; Brei06]. Gesetzgeber und Behörden hätten grundsätzlich die Möglichkeit, durch restriktive Maßnahmen und Anforderungen die Auslagerung von Aufgaben ins Ausland zu erschweren. Solche Maßnahmen werden zuweilen unter arbeitsmarktpolitischen Gesichtspunkten gefordert [ErSa05, 111]. Allerdings sind für eine in dieser Weise agierende Volkswirtschaft Wettbewerbsnachteile zu erwarten, wenn Auslagerungen tatsächlich die ihnen zugeschriebenen Vorteile [McKi03] besitzen. Damit würden die verstärkten Regulierungsmechanismen neben ihren direkten Kostenfolgen weitere negative Auswirkungen besitzen und die oft geäußerte Vermutung einer Ûberregulierung noch berechtigter erscheinen lassen.

8 Compliance-Nachweise bei Outsourcing von IT-Aufgaben Fazit und Ausblick Regulatorische Vorschriften besitzen bisher weitgehend vernachlässigte Auswirkungen auf die Attraktivität von Outsourcing-Beziehungen. Dieser Beitrag zeigt die Komplexität, die bei Gestaltung und Betrieb Compliance-relevanter ICT-Systeme und ihrer Prüfung bei Outsourcing entstehen kann. Auch unter Compliance-Gesichtspunkten sind mit Outsourcing Vor- und Nachteile verbunden. Wie die neuen regulatorischen Anforderungen die Verlagerung von IT-Aufgaben insbesondere ins Ausland beeinflussen, sollte zum Gegenstand weiterer Forschungsarbeiten werden. Die Forderungen nach Compliance sind ein wichtiger Schritt zur Etablierung eines betriebswirtschaftlichen IT-Risikomanagements [Müll06]. Zu wenig klar formulierte und umgesetzte Prozesse werden als wesentliche Schwachstelle bei IT-Outsourcing angesehen [VaVa00]. Die Wirtschaftsinformatik sollte die in ihr erarbeiteten Vorschläge zur Erreichung höherer Transparenz und geringeren Risikos in die Diskussion um die Erfüllung von Compliance-Anforderungen stärker als bisher einbringen. Zudem sollten Fachkenntnisse aus Betriebswirtschaftslehre und Wirtschaftsinformatik bei Ausarbeitung neuer Regulierungen intensiver als bisher berücksichtigt werden, um den Beschluss von Vorschriften zu vermeiden, die systemtechnisch nicht oder nur überaus schwierig erfüllbar sind und zu fragwürdigen gesamtwirtschaftlichen Nutzen/Kosten-Relationen führen. [Base01] Basel Committee on Banking Supervision/ Bank for International Settlements: Internal audit in banks and the supervisor s relationship with auditors, Basel publ/bcbs84.pdf, , Abruf am [Base05] Basel Committee on Banking Supervision/ Bank of International Settlements: Outsourcing in Financial Services, Basel Abruf am [BITK06] BITKOM (Hrsg.): Compliance in IT- Outsourcing-Projekten, Leitfaden zum Umsetzung rechtlicher Rahmenbedingungen. Berlin- Mitte [Brei06] Breitenbach, Thomas: Outsourcing und Compliance: Ein Widerspruch? Vortrag am BITKOM-Forum Outsourcing Sicherheit. Frankfurt, [BrWi05] Brown, Douglas; Wilson, Scott: The Black Book of Outsourcing. Wiley, Hoboken [Bund01] Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 11/2001, Auslagerung von Bereichen auf ein anderes Unternehmen gemäß 25a Abs. 2 KWG, rs11_01.htm, , Abruf am [BuRi05] Butler, Charles W.; Richardson, Gary L.: The Implications of Sarbanes-Oxley for the IT Community. In: Cutter Consortium (Hrsg.): Enterprise Risk Management and Governance Advisory Service, Executive Report 2 (2005) 3. [Cham03] Champlain, Jack. J.: Auditing Information Systems. 2nd ed. Hoboken, Wiley [Dami05] Damianides, Marios: Sarbanes-Oxley and IT Governance: New Guidance on IT Control and Compliance. In: Information Systems Management 22 (2005) 1, S [Deut05] Deutsche Bank Research: Outsourcing nach Indien: der Tiger auf dem Sprung. Frankfurt DBR_INTERNET_DE-PROD/ PROD pdf, , Abruf am [Djav05] Djavanshir, G. Reza: Surveying the Risks and Benefits of IT Outsourcing. In: IT Pro 7 (2005) 6, S [EBK99] Eidgenössische Bankenkommission: Rundschreiben der Eidg. Bankenkommission: Auslagerung von Geschäftsbereichen (Outsourcing). mitteil/1999/m pdf, , Abruf am: [ErSa05] Erber, Georg; Sayed-Ahmed, Aida: Offshore Outsourcing. In: Intereconomics 40 (2005) 2, S [GeBa03] Germano, Lisa; Baker, Anita: Why an SAS 70 Review Will Benefit Your Organization. In: Journal of Pension Benefits 11 (2003) 1, S [Glen03] Glenfis: ITIL-Cobit Mapping. ITIL-Cobit-Mapping_de.xls, Abruf am [Gray04] Gray, Helen: Is there a relationship between IT governance and corporate governance? What improvements (if any) would IT governance bring to the LSC? template_itgi.cfm?template=/contentmanagement/contentdisplay.cfmcontentid=16236, Abruf am [HaHS00] Hadding, W.; Hopt, K.J.; Schimansky, H. (Hrsg.): Funktionsauslagerung (Outsourcing) bei Kreditinstituten. Bankrechtstag de Gruyter, Berlin-New York [HeAu06] Heinzl, Armin; Autzen, Birte: Offshore- Outsourcing und dessen Konsequenzen für das Berufsbild des Wirtschaftsinformatikers. In: WIRTSCHAFTSINFORMATIK 48 (2006) 4, S Literatur [AICP06] American Institute of Certified Public Accountants: AICPA Audit Guide. Service Organizations: Applying SAS No. 70, as Amended. With Conforming Changes as of May 1, AICPA, New York [Arbe04] Arbeitskreis Externe und Interne Ûberwachung der Unternehmung der Schmalenbach- Gesellschaft für Betriebwirtschaft e.v.: Auswirkung des Sarbanes-Oxley Act auf die Interne und Externe Unternehmensüberwachung. In: Betriebs-Berater 59 (2004) 44, S [AsMV06] Aspray, William; Mayadas, Frank; Vardi, Moshe Y. (Hrsg): Globalization and Offshoring of Software. ACM, o.o fullfinal.pdf, Abruf am [BaMc05] Baker McKenzie: SOX and Outsourcing: Material Weakness Due to Service Provider. PDFs/ArticlePDFS/ BMOutsourcing %20Alert_June2005.pdf, , Abruf am Abstract Proofing Compliance when Outsourcing IT Tasks Information and communication systems become more and more relevant in proving compliance with different types of regulations, e.g. the Sarbanes-Oxley Act. In the case of outsourcing, auditing procedures may reach beyond the boundaries of the company. SAS 70 reports can be used to document the compliance of service providers. Due to different legal systems and awareness, the auditing of service providers may become tedious especially in the case of offshoring or nearshoring. Proofing compliance becomes difficult if several service providers are employed or if the service provider employs subservice providers. One advantage of outsourcing compliance-relevant tasks is that the proof of compliance is (partially) delegated to another company. However, for providing this evidence the service provider will charge costs and the quality of the confirmation may not be accepted by the auditor of the company which is outsourcing IT tasks. Therefore it is not clear whether the accentuated regulations favor or inhibit the outsourcing bandwagon. Keywords: Audit, Compliance, Nearshoring, Offshoring, Outsourcing, Sarbanes-Oxley Act, SAS 70 Reports

9 106 Gerhard F. Knolmayer [Hurl06] Hurley, Jim: The Struggle to Manage Security Compliance for Multiple Regulations. White Paper resources/whitepapers/ StruggleToManage_ WP.pdf, , Abruf am [IDW02] Institut der Wirtschaftsprüfer: IDW Prüfungsstandard: Abschlußprüfung bei Einsatz von Informationstechnologie (IDW 330). In: Die Wirtschaftsprüfung 55 (2002) 21, S [IDW03] Institut der Wirtschaftsprüfer: IDW Prüfungsstandard: Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen (IDW PS 331). In: Die Wirtschaftsprüfung 56 (2003) 18, S [IDW05] Institut der Wirtschaftsprüfer: Rechnungslegung und Prüfung beim Einsatz von Informationstechnologie. Düsseldorf, IDW [ITGI05] IT Governance Institute: COBIT 4.0, Rolling Meadows [KnWe06] Knolmayer, Gerhard F.; Wermelinger, Thomas: Der Sarbanes-Oxley Act und seine Auswirkungen auf die Gestaltung von Informationssystemen. In: Siegel, T.; Klein, A.; Schneider, D.; Schwintowski, H.-P. (Hrsg.): Unternehmungen, Versicherungen und Rechnungswesen. Duncker Humblot, Berlin 2006, S [Leun03] Leung, Linda: Call in the security auditors. In: Network World 20 (2003) 30, S. 41. [Math05] Mathews, Bimal: Prüfung outgesourcter Informatikleistungen Prüfprozessoptimierung im IT-Security Bereich. Diplomarbeit, Uni Zürich Diplom_PruefungOutsourcingIT.pdf, , Abruf am [McKi03] McKinsey Global Institute: Offshoring: Is It a Win-Win Game? San Francisco ComparativeAdvantageMyths/ IsOffshoringWinWin_McKinsey.pdf, , Abruf am [MeGa04] Mensik, Michael S.; Garesis, Robert: The Sarbanes-Oxley/Outsourcing Intersection: An Introduction. In: Baker McKenzie (Hrsg.): U.S. Outsourcing Client Alert, BC9F5D-47A1-4E85-88C3-27E152D85509/ 0/CAOutsourcing0904.pdf, Abruf am [MeGW05] Mertens, Peter; Große-Wilde, Jörn; Wilkens, Ingrid: Die (Aus-)Wanderung der Softwareproduktion Eine Zwischenbilanz. Arbeitsberichte des Instituts für Informatik der Friedrich-Alexander-Universität Erlangen Nürnberg 38 (2005) 3. [Meke05] Mekechuk, Bryan: The Compliance Imperative. In: Optimize (2005) 45. showarticle.jhtml?articleid= , Abruf am [MeKn98] Mertens, Peter; Knolmayer, Gerhard: Organisation der Informationsverarbeitung. 3. Aufl., Gabler, Wiesbaden [Mert04] Mertens, Peter: Informationstechnik in Deutschland Ein Auslaufmodell? In: Informatik-Spektrum 27 (2004) 3, S [Mert05] Mertens, Peter: Für Sie gelesen: Can Germany Win from Offshoring?, Stellungnahme zum Bericht des McKinsey Global Institute. In: WIRTSCHAFTSINFORMATIK 47 (2005) 3, S [Müll06] Müller, Günter: Für Sie gelesen: Budgeting Process for Information Security Expenditures. In: WIRTSCHAFTSINFORMATIK 48 (2006) 4, S [NaBu03] Nanda, Arup; Burleson, Donald K.: Oracle Privacy Security Auditing. Includes Federal Law Compliance with HIPAA, Sarbanes- Oxley The Gramm-Leach-Bliley Act GLB. Rampant Tech Press, Kittrell [Navi06] NaviSite: SAS 70 and Application Outsourcing. White Paper. NaviSite, o.o about/our_story/ SAS %2070 %20White %20Paper_June06.pdf, Abruf am [Path05] Pathak, Jagdish: Information Technology Auditing. An Evolving Agenda. Springer, Berlin [PCAO04] PCAOB: Auditing Standard No. 2 An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements, 2004 (As of ) Rules_of_the_Board/Auditing_Standard_2.pdf, Abruf am [PDAS04] PDA Supplier Auditing Qualification Task Group: Auditing of Suppliers Providing Computer Products and Services for Regulated Pharmaceutical Operations. In: PDA Journal of Pharmaceutical Science and Technology 58 (2004) 5, Technical Report 32, Release 2.0. [Phil98] Philip, Mathias: Ordnungsmäßige Informationssysteme im Zeitablauf Umsetzung der GoBS im Informationssystem-Lebenszyklus. In: WIRTSCHAFTSINFORMATIK 40 (1998) 4, S [PwC05] PwC Deutsche Revision: Entwicklung von Branchen-Standards im Investmentgeschäft. In: PwC Deutsche Revision (Hrsg.): PwC, Frankfurt am Main 2005, S mandantenmagazin/ pdf, Abruf am [SAPoJ] SAP: Management of Internal Controls EB894B65AEA15E1F5DD861B0.htm, Abruf am [Sarb04] Sarbanes Oxley Group: The Sarbanes-Oxley Guide For Finance And Information Technology Professionals. Booksurge/CLA, o.o [Schi05] Schirmbrand, Michael: IT Governance Aktuelle Entwicklungen. summit_6u7_9_05/03_schirmbrand.pdf, , Abruf am [Schn04a] Schneider, Craig: Stuck in the SAS 70s. In: CFO.com. article.cfm/ , , Abruf am [Schn04b] Schneider, Craig: A World of Trouble. In: CFO 20 (2004) 4, S , , Abruf am [SEC03] U.S. Security and Exchange Commissio: SEC Implements Internal Control Provisions of Sarbanes-Oxley Act; Adopts Investment Company RD Safe Harbo., , Abruf am [Sewe05] Sewera, Sonja: Referenzmodelle im Rahmen von IT-Governance. CobiT ITIL MOF. inf-sem-ss-05/referenzmodelle, Abruf am [SiSt06] Siebert, Jörg; Strohmeier, Martin: mysap ERP Financials. Galileo, Bonn [Sont06] Sontheimer, Thomas: Höherer Nutzen als nur Kostenersparnis. In: Computerworld (2006) 43, S [Step03] Stephenson, Mark: Does SAS 70 Suffice for SOA? In: Protiviti KnowledgeLeader Wiederabgedruckt in: ISACA San Francisco Chapter (2004) 1, S q1_lan.pdf, Abruf am [TreuoJ] Treuhand-Kammer (Hrsg.): Was bedeutet der Sarbanes-Oxley Act of 2002 für Schweizer Unternehmen? Eine Orientierungshilfe zum neuen US-Gesetz. Zürich o.j. Oxley_de2.pdf, Abruf am [VaVa00] Van Grembergen, Wim; Vander Borght, Daniel: An Audit of IT Outsourcing: A Case Study. In: Butler, J. (Hrsg.): Winning the Outsourcing Game. Auerbach, Boca Raton 2000, S [WiSe99] Widener, Sally K.; Selto, Frank H: Management Control Systems and Boundaries of the Firm: Why Do Firms Outsource Internal Auditing Activities? In: Journal of Management Accounting Research 11 (1999), S

Compliance-Nachweise bei Outsourcing von IT-Aufgaben

Compliance-Nachweise bei Outsourcing von IT-Aufgaben Institut für Wirtschaftsinformatik der Universität Bern Arbeitsbericht Nr. 190 Compliance-Nachweise bei Outsourcing von IT-Aufgaben source: https://doi.org/10.7892/boris.58054 downloaded: 4.11.2015 Gerhard

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

Compliance-Nachweise bei Outsourcing von IT-Aufgaben

Compliance-Nachweise bei Outsourcing von IT-Aufgaben Institut für Wirtschaftsinformatik der Universität Bern Arbeitsbericht Nr. 190 Compliance-Nachweise bei Outsourcing von IT-Aufgaben Gerhard F. Knolmayer August 2006 Die Arbeitsberichte des Institutes für

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 PKF Industrie- und Verkehrstreuhand GmbH Wirtschaftsprüfungsgesellschaft, München

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Master-Seminar (M.Sc.) Governance Risk Compliance

Master-Seminar (M.Sc.) Governance Risk Compliance Bergische Universität Wuppertal Fakultät für Wirtschaftswissenschaft Schumpeter School of Business and Economics Lehrstuhl für Wirtschaftsprüfung und Rechnungslegung Prof. Dr. Stefan Thiele Master-Seminar

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr.

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Holger Sörensen Die Aufgaben des Prüfungsausschusses: Agenda Gesetzestexte Organisatorische

Mehr

www.pwc.com FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess SVV Präsentation 4. April 2013

www.pwc.com FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess SVV Präsentation 4. April 2013 www.pwc.com FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess Präsentation 4. Agenda 1. Einführung 2. FATCA-Hauptaufgaben 3. Versicherer in der Schweiz und FATCA 4. Implementierungsaspekte

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

Was Sie vom Provider (auch) verlangen sollten

Was Sie vom Provider (auch) verlangen sollten 25.1.2005 Rechtliche Vorgaben beim Outsourcing von Bank-IT: Was Sie vom Provider (auch) verlangen sollten David Rosenthal Die «üblichen» Vorgaben - Übergang von Arbeitsverhältnissen bei Betriebsübergang

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

How to develop and improve the functioning of the audit committee The Auditor s View

How to develop and improve the functioning of the audit committee The Auditor s View How to develop and improve the functioning of the audit committee The Auditor s View May 22, 2013 Helmut Kerschbaumer KPMG Austria Audit Committees in Austria Introduced in 2008, applied since 2009 Audit

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage dpunkt.verlag 1 Einleitung 1 Teill COBIT verstehen 5 2 Entwicklung

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

Das Interne Kontrollsystem 11.11.2011 Anuschka Küng

Das Interne Kontrollsystem 11.11.2011 Anuschka Küng Das Interne Kontrollsystem 11.11.2011 Anuschka Küng Acons Governance & Audit AG Herostrasse 9 8047 Zürich Tel: +41 (0) 44 224 30 00 Tel: +41 (0) 79 352 75 31 1 Zur Person Anuschka A. Küng Betriebsökonomin

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Übersetzung des englischen Berichts. SAS 70 Type II. Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren.

Übersetzung des englischen Berichts. SAS 70 Type II. Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren. SAS 70 Type II Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren DATEVasp Für den Zeitraum: 1. Januar 2010 bis 30. September 2010 Inhaltsverzeichnis SEKTION I... 3

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de

TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de Normen und Standards TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de (...ITSM 3 Assessment, ITIL-, ISO 20000-Know How, Trainer für itsmf

Mehr

Rundschreiben 1/2008 über die Anerkennung von Prüfungsstandards (RS 1/2008) vom 17. März 2008 (Stand am 1. Januar 2015) Inhaltsverzeichnis

Rundschreiben 1/2008 über die Anerkennung von Prüfungsstandards (RS 1/2008) vom 17. März 2008 (Stand am 1. Januar 2015) Inhaltsverzeichnis Eidgenössische Revisionsaufsichtsbehörde RAB Rundschreiben 1/2008 über die Anerkennung von Prüfungsstandards (RS 1/2008) vom 17. März 2008 (Stand am 1. Januar 2015) Inhaltsverzeichnis I. Ausgangslage Rz

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

COBIT 5/ITIL-Convergence?

COBIT 5/ITIL-Convergence? IT-Tagung 2012 COBIT 5/ITIL-Convergence? Massood Salehi 1 Agenda Ursachen für den fehlenden Gorvernance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb Parallelen und Unterschiede

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Prüfung des Internen Kontrollsystems durch die Interne Revision

Prüfung des Internen Kontrollsystems durch die Interne Revision Prüfung des Internen Kontrollsystems durch die Interne Revision Seminar Wintersemester 2004/2005: Unternehmensberatung und Prüfung Thema (3) Technische Universität München Fakultät für Wirtschaftswissenschaften

Mehr

GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG

GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG 1 Agenda AMAG - Automobil und Motoren AG GRC Herausforderungen in der Praxis

Mehr

IT Service Management

IT Service Management IT Service IT Service : Seminarvortrag von Annegret Schnell im Rahmen der Lehrveranstaltung Netzmanagement SS 2003, Prof. Dr. Leischner, FH-Bonn-Rhein-Sieg Annegret Schnell Seminar Netzmanagement 1 Vortrag

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks)

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Vorlesung Wirtschaftsprüfung. Prüfungsplanung. 1Prof. Dr. H. R. Skopp, Wirtschaftsprüfer / Steuerberater, HS Landshut

Vorlesung Wirtschaftsprüfung. Prüfungsplanung. 1Prof. Dr. H. R. Skopp, Wirtschaftsprüfer / Steuerberater, HS Landshut Vorlesung Wirtschaftsprüfung Prüfungsplanung 1Prof. Dr. H. R. Skopp, Wirtschaftsprüfer / Steuerberater, HS Landshut Definition: Unter Planung ist der Entwurf einer Ordnung zu verstehen, nach der die eigentliche

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk E-Mail Outsourcing@bafin.de B30_MaRisk@bundesbank.de Bundesanstalt für Finanzdienstleistungsaufsicht Herrn Helmut Bauer Erster Direktor Bankenaufsicht Graurheindorfer Str. 108 53117 Bonn Bundesverband

Mehr

INTERNE REVISION - AKTUELLE ENTWICKLUNGEN -

INTERNE REVISION - AKTUELLE ENTWICKLUNGEN - Autor: Gerald Siebel, StB/vBP/CIA Kanzlei Siebel, Essen INTERNE REVISION - AKTUELLE ENTWICKLUNGEN - A. Einleitung I. Auch gemeinnützige Einrichtungen unterliegen einem zunehmend schnelleren Wandel der

Mehr

Zusammenfassung und Abschluss

Zusammenfassung und Abschluss ISACA/SVIR-Fachtagung Erfolgreiche Zusammenarbeit zwischen interner und externer (IT-) Revision Zusammenfassung und Abschluss Peter R. Bitterli, Ausbildungsverantwortlicher ISACA-CH Eine persönliche Zusammenfassung

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define metrics Pre-review Review yes Release

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Internes Kontrollsystem (IKS) bei KMU

Internes Kontrollsystem (IKS) bei KMU Schweizer Schriften zum Handels und Wirtschaftsrecht Band 318 Herausgegeben von Prof. Dr. Peter Forstmoser Dr. iur. Annina Wirth, Rechtsanwältin Internes Kontrollsystem (IKS) bei KMU Abkürzungsverzeichnis...

Mehr

CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008

CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008 IT in Balance - Bedeutung von Risikomanagement und Compliance CON.ECT Informunity Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008 Management In Balance ROI Organization Business Quality Compliancy

Mehr

Die neue Rolle des Financial Expert. Bergisch - Gladbach, den 13. Dezember 2010 Dr. Bernd Schichold

Die neue Rolle des Financial Expert. Bergisch - Gladbach, den 13. Dezember 2010 Dr. Bernd Schichold Die neue Rolle des Financial Expert Bergisch - Gladbach, den 13. Dezember 2010 Dr. Bernd Schichold 1 Vortragsagenda 1 2 3 4 4 Thesen zur neuen Rolle und Stellung des Financial Expert Neue regulative Anforderungen

Mehr

(Un)mögliche Prüfung von Outsourcing

(Un)mögliche Prüfung von Outsourcing (Un)mögliche Prüfung von Outsourcing Michel Huissoud lic. iur, CISA, CIA zugelassener Revisionsexperte RAB Vizedirektor, Eidgenössische Finanzkontrolle, www.efk.admin.ch Mitglied des Fachstabs für Informatik

Mehr

Fall 4: Standard Software falsch behandelt

Fall 4: Standard Software falsch behandelt Fall 4: Standard Software falsch behandelt Bernhard Hamberger Partner Ernst & Young, Bern 4: Standard-Software falsch behandelt Fehlende Prüfungshandlungen im Bereich ERP-Systeme Das Unternehmen hat ein

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Prozess Dimension von SPICE/ISO 15504 Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define

Mehr

Service Übersicht Helwig, Lenz Wirtschaftsprüfer - Frankfurt a.m.

Service Übersicht Helwig, Lenz Wirtschaftsprüfer - Frankfurt a.m. Compliance Beratung Service Übersicht Compliance Beratung 1. Die Partner 2. Unsere Services Die Partner - Rosemarie Helwig Helwig, Lenz Wirtschaftsprüfer Rosemarie Helwig Wirtschaftsprüfer, Steuerberater,

Mehr

Compliance als Teil der Governance Was fordert die 8.EU-RL (nicht)?

Compliance als Teil der Governance Was fordert die 8.EU-RL (nicht)? e Compliance als Teil der Governance Was fordert die 8.EU-RL (nicht)? Mag. Gunther Reimoser Ernst & Young CON.ECT Informunity Compliance, Governance, Risk-Management 19. Februar 2007 ompliancegov Vorstellung

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

Einführung von Compliance-Systemen auf Basis der Identity- & Access-Management-Suite

Einführung von Compliance-Systemen auf Basis der Identity- & Access-Management-Suite 20. Deutsche ORACLE-Anwenderkonferenz 21.-22.11.2007 Nürnberg Einführung von Compliance-Systemen auf Basis der Identity- & Access-Management-Suite Vorstellung 26 Jahre Master of Computer

Mehr

Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery

Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery www.pwc.de Retained IT Im Spannungsfeld zwischen interner und externer IT- Delivery Jörg Hild und Roland Behr IT-Organisationen heute: Die Zeiten der klaren Strukturen sind vorüber Die IT Sourcing Studie

Mehr

BASWARE Compliance Services Compliance Readyness beim einvoicing

BASWARE Compliance Services Compliance Readyness beim einvoicing A Basware Presentation BASWARE Compliance Services Compliance Readyness beim einvoicing Alexander Dörner compliance@basware.com 20.10.2011 Agenda Bereiche & Leistungen der BASWARE Compliance Services Verfahrensdokumentation

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

Darstellung und Anwendung der Assessmentergebnisse

Darstellung und Anwendung der Assessmentergebnisse Process flow Remarks Role Documents, data, tool input, output Important: Involve as many PZU as possible PZO Start Use appropriate templates for the process documentation Define purpose and scope Define

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f.

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f. Arbeitskreis Rechnungslegung des Deutschen Steuerberaterverbands e.v. Littenstraße 10 10179 Berlin Tel: 030/278 76-2 Fax: 030/278 76-799 Mail: rechnungslegung@dstv.de B 01/13 vom 31.05.2013 Entwurf einer

Mehr

Reaktion der EU auf die Finanzkrise: Abschlussprüfer im Visier?

Reaktion der EU auf die Finanzkrise: Abschlussprüfer im Visier? Reaktion der EU auf die Finanzkrise: Abschlussprüfer im Visier? WP StB Prof. Dr. Winfried Melcher Partner, Berlin Assistant Manager, Stuttgart 1 Übersicht Einleitung Rolle des Abschlussprüfers Governance

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Swiss Quality Assessment (SQA)

Swiss Quality Assessment (SQA) Eidgenössisches Finanzdepartement EFD Bundesamt für Privatversicherungen BPV Swiss Quality Assessment (SQA) Informationen zu den Tools betreffend Corporate Governance (CG) und Risikomanagement/Internes

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Wer? Wie? Was? Reporting-Trends in Österreich

Wer? Wie? Was? Reporting-Trends in Österreich Wer? Wie? Was? Reporting-Trends in Österreich C.I.R.A. Jahreskonferenz 2015 Mag. Brigitte Frey 14. Oktober 2015 Agenda Entwicklung der Finanzberichterstattung Status und Herausforderungen in der Berichterstattung

Mehr

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014 Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014 Bericht der Revisionsstelle an den Stiftungsrat der Personal-Vorsorgestiftung

Mehr

DOT. implantsource. Qualitätsmanagement. Innovative Produkte für die Medizin. Prof. Dr. H.- G.Neumann DOT

DOT. implantsource. Qualitätsmanagement. Innovative Produkte für die Medizin. Prof. Dr. H.- G.Neumann DOT DOT implantsource Qualitätsmanagement Innovative Produkte für die Medizin Prof. Dr. H.- G.Neumann DOT Medizinprodukt - Begriff Medizinprodukte Medizinprodukte nach 3 MPG sind alle einzeln oder miteinander

Mehr

Privacy trends 2011. Alfred Heiter. 10. Juni 2011

Privacy trends 2011. Alfred Heiter. 10. Juni 2011 Privacy trends 2011 Alfred Heiter 10. Juni 2011 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft Senior Manager bei Ernst & Young im Bereich Technology

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Sr. Technology Strategist

Sr. Technology Strategist Sr. Technology Strategist Situation Einwände Fragen Status Ein- Aussichten After fire and the wheel, cloud is the new game changer. Montreal Gazette, November 2011 GTI Report Die rote Pille und

Mehr

agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht

agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht 25.03.2009 Compliance ist das Thema in den Medien 2 Compliance ist das Thema in den Medien

Mehr

Die richtigen Dinge tun

Die richtigen Dinge tun Die richtigen Dinge tun Einführung von Projekt Portfolio Management im DLR Rüdiger Süß, DLR Frankfurt, 2015 Sep. 25 Agenda DLR Theorie & Standards Definition Standards Praxis im DLR Umsetzung Erfahrungen

Mehr

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe ISO/IEC 27001/2 Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe 1 ISO Survey of Certifications 2009: The increasing importance organizations give to information security was

Mehr

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010 Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010 Christoph Koch, ckoch@koch-is.ch, Geschäftsführer, Koch IS GmbH Agenda Schadenfälle Audit, Sicherheit,

Mehr

Delegieren von IT- Sicherheitsaufgaben

Delegieren von IT- Sicherheitsaufgaben Delegieren von IT- Sicherheitsaufgaben Regeln und Grenzen Pierre Brun Zürich Inhalt Relevante IT-Sicherheitsaktivitäten Verantwortlichkeit von IT Regulatorisches Umfeld 2 PricewaterhouseCoopers Verantwortung

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Die Zukunft der Internen Revision

Die Zukunft der Internen Revision IIR-FORUM Band 1 Die Zukunft der Internen Revision Entwicklungstendenzen der unternehmensinternen Überwachung WP StB Univ.-Prof. Dr. Dr. h.c. Wolfgang Lück unter Mitarbeit von Dipl.-Ing. Michael Henke

Mehr