Vorgehensmodell IT-Risikoanalyse

Größe: px
Ab Seite anzeigen:

Download "Vorgehensmodell IT-Risikoanalyse"

Transkript

1 Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer sse oze tspr chäf Ges nw IT-A IT-Ba ITA CS Tr a in in g e stem sissy tur truk fras IT-In en ung end

2

3 «Vorgehensmodell IT-Risikoanalyse» Inhaltsverzeichnis Inhaltsverzeichnis 1 Übersicht und Abgrenzung 2 Einführung 4 Vorgehensmodell IT-Risikoanalyse 6 Phase 1: Grobe Abhängigkeits-Einschätzung 8 Phase 2: Erhebung Informatikeinsatz 15 IT-Check als «Kombination» der Phasen 1 und 2 19 Hinweise zu umfassenderen Informatikrevisionen 21 Schlusswort 24 Fragebogen Phase I (Anhang 1) 25 Fragebogen Phase II (Anhang 2) 27 Autoren: Fachstab für Informatik der Treuhand-Kammer Projektleitung: Peter R. Bitterli und Peter Steuri Grafiken und Layout: Felice Lutz, ITACS Training AG 1

4 1 Übersicht und Abgrenzung Abgrenzung des Vorgehensmodells Ein integrierter Prüfansatz von Wirtschaftsprüfer und IT-Prüfer stellt sicher, dass alle wichtigen Gebiete mit anwendungsabhängigen verfahrens- oder ergebnisorientierten Prüfungen ausreichend abgedeckt werden und gleichzeitig diejenigen IT-spezifischen Gebiete geprüft werden, die ebenfalls einen primären Einfluss auf das Prüfziel des Wirtschaftsprüfer haben. Ohne ein aufeinander angestimmtes Vorgehen von Wirtschaftsprüfer und IT-Prüfer besteht hier ein erhöhtes Prüfungsrisiko. Um diesem Prüfungsrisiko zu entgegnen, haben Mitglieder des Fachstabs Informatik der Treuhand-Kammer zwei Vorgehensmodelle geschaffen. Diese basieren auf einem vierstufigen Schichtenmodell, welches die wesentlichen Zusammenhänge vereinfacht und generisch darstellt. In der Realität können die Zusammenhänge wesentlich komplexer sein, doch ist diese Abstraktion für das Verständnis der beiden Vorgehensmodelle zweckdienlich. Im Vorgehensmodell abgedeckt Im Vorgehensmodel nicht abgedeckt Generelle IT-Kontrollen Kontrollumgebung (Richtlinien, Direktiven) Softwareentwicklung IT-Änderungen IT-Betrieb Zugriffskontrolle Systemsicherheit Datensicherheit Überwachung Geschäftsprozesse IT-Anwendungen IT-Basissysteme IT-Infrastruktur IT-Anwendungskontrollen Vollständigkeit Genauigkeit Gültigkeit Berechtigung Rollentrennung Vierstufiges Schichtenmodell Die obige Abbildung zeigt vereinfacht das in den beiden vom Fachstab Informatik entwickelten Vorgehensmodellen verwendete Schichtenmodell. Jede der vier Schichten steht für eine Art von Prozessen und Ressourcen: In der obersten (blauen) Schicht finden wir alle wesentlichen (manuellen) Geschäftsprozesse typischerweise aufgeteilt nach verantwortlichen Fachbereichen und in Sub-Prozesse und einzelne Aktivitäten; In der zweiten (roten) Schicht finden wir die automatisierten Teile der Geschäftsprozesse, die eigentlichen (IT-) Anwendungen. Mit Ausnahme der wirklich kleinen KMU wird bei praktisch allen Unternehmen der grösste Teil der Geschäftsfälle mit Hilfe solcher Anwendungen verarbeitet. In der dritten (gelben) Schicht finden wir die IT-Basissysteme. Dieser Begriff umfasst eine grosse Vielfalt möglicher Plattformen, auf denen die eigentlichen Anwendungen der zweiten Schicht laufen. Beispiele sind Datenbank-Verwaltungssysteme (z.b. SQL, Oracle), die Basiskomponenten integrierter Anwendungen (z.b. SAP-Basis) oder auch eher technische Verarbeitungssysteme (z.b. Middleware). In der untersten (grünen) Schicht finden wir die Informatik-Infrastruktur. Im Wesentlichen umfasst diese die eigentliche Hardware (Midrange-Systeme, Server) wie auch die zugehörigen Netzwerk-Komponenten und technischen Überwachungssysteme. 2

5 «Vorgehensmodell IT-Risikoanalyse» Vorgehensmodell Anwendungsprüfung Das «Vorgehensmodell Anwendungsprüfung» wurde 2008 veröffentlicht und ist heute auf Deutsch (www.treuhand-kammer.ch), auf Französisch (www.afai.fr) und Englisch (www.isaca.ch) erhältlich. Es beschäftigt sich primär mit den oberen beiden Schichten, also den anwendungsabhängigen Kontrollen in den Geschäftsprozessen und den sie unterstützenden Anwendungen. Der aufgezeigte Ansatz soll den Abschlussprüfer in der Entwicklung eines integrierten Prüfungsansatzes unterstützen und durch den Einbezug der Prüfung der relevanten Geschäftsprozesse und entsprechenden Anwendungen zu einem effizienten und besser auf die Risiken ausgerichteten Prüfungsvorgehen führen. Der Ansatz beginnt deshalb mit der Analyse der finanziellen Rechnung des Unternehmens und resultiert in der Betrachtung der Auswirkungen der erlangten Prüfungsergebnisse auf diese Rechnung. In dieser Analyse der finanziellen Rechnung des Unternehmens erfolgt eine Zuordnung der wesentlichen Rechnungspositionen zu den relevanten Geschäftsprozessen resp. eine Klärung der Fragen: Aus welchen Datenflüssen werden die wesentlichen Rechnungspositionen «produziert» und welche Kern-Anwendungen verwalten diese Datenflüsse? Bei den identifizierten Kern-Anwendungen interessiert sich der Prüfer in der Folge für die Qualität des Kontrollsystems. Dabei beurteilt er zuerst, ob die Konzeption des Kontrollsystems eine angemessene Antwort auf die bestehende Risikosituation der Geschäftsprozesse darstellt und danach, ob die vorgesehenen Kontrollen implementiert und wirksam sind. Mit der Beurteilung des Kontrollsystems der im Prüfungsumfang berücksichtigten Geschäftsprozesse erlangt der Prüfer Hinweise, in wie weit er auf die Verfahren und Kern-Anwendungen, aus welchen die wesentlichen Rechnungspositionen entstehen, abstützen kann, und in welchem Masse er allenfalls ergebnisorientierte Prüfungshandlungen zusätzlich durchführt. Vorgehensmodell IT-Risikoanalyse Das vorliegende «Vorgehensmodell IT-Risikoanalyse» beschäftigt sich primär mit den unteren beiden Schichten, also der IT-Infrastruktur mit den sie unterstützenden IT-Prozessen, aber auch mit den generellen IT-Prozessen für Wartung und Entwicklung der IT-Geschäftsanwendungen in der zweiten Schicht. Das Vorgehensmodell analysiert zusätzlich einige Fragestellungen in den oberen beiden Schichten, um eine gesamtheitliche Beurteilung der Risikolage vornehmen zu können. Mit dem «Vorgehensmodell IT-Risikoanalyse» wird ein standardisiertes Vorgehen geschaffen für: die Erkennung der Risiken, die sich aus dem IT-Einsatz eines Unternehmens ergeben; für die Erhebung und Beurteilung der «generellen IT-Kontrollen» und des IT-Einsatzes insgesamt in kleineren und mittleren Unternehmen und Organisationen. Das «Vorgehensmodell IT-Risikoanalyse» liefert damit dem Wirtschaftsprüfer als unverbindliche Arbeitshilfe die für die strategische Prüfungsplanung notwendigen Informationen über den Einsatz der Informatik (IT). 3

6 2 Einführung Bedeutung der Informatik für das IKS Gemäss Art. 728a OR hat die Revisionsstelle von wirtschaftlich bedeutenden Unternehmen, die der ordentlichen Revision unterliegen, ab dem Geschäftsjahr 2008 die Existenz eines Internen Kontroll-Systems (IKS) zu prüfen und zu bestätigen. Beobachtungen zeigen, dass in vielen mittleren und kleineren Unternehmen noch Unsicherheit und Fragen über Umfang und Inhalt sowie insbesondere den konkreten Nutzen des IKS bestehen. Dies gilt für das IKS auf Unternehmens- und Prozessebene sowie, in noch stärkerem Mass, auch für die Kontrollen im Informatikbereich. Der Schweizer Prüfungsstandard «Prüfung der Existenz des Internen Kontrollsystems» (PS 890) definiert die Bedeutung der Informatik für das Interne Kontroll-System wie folgt: «Kontrollen im Informatikbereich sind umso wichtiger, je stärker der Rechnungslegungs- und Berichterstattungs- Prozess von Informatik-Systemen abhängig ist und je höher das Risiko ist, dass Fehler ihre Ursache im Aufbau von und Umgang mit Informatik-Systemen haben könnten.» Informatikeinsatz in KMU Die Anforderungen an die Informatik weichen in KMU nicht wesentlich von denjenigen in grösseren Unternehmungen ab: Anwendungen mit breitem Funktionsumfang sowie hohe Verfügbarkeit und Sicherheit sind oftmals wesentliche Voraussetzungen für die effiziente und zuverlässige Abwicklung der Geschäftsprozesse. Gegenüber grösseren Unternehmen mit bezüglich Knowhow und Kapazität gut dotierten Informatikabteilungen ist die Situation in KMU, obwohl deren Informatik-Systeme und -Infrastruktur im Normalfall «überschaubar» sind und im Bereich der Kern-Anwendungen Standard-Software eingesetzt wird, oft von folgenden «typischen» Risiken geprägt: fehlendes Knowhow zu Informatik-Anwendungen sowie Daten- und Werteflüssen (Schnittstellen); daraus resultieren eine fehleranfällige, ineffiziente Nutzung der Software, Schwachstellen in der internen Kontrolle und eine hohe Abhängigkeit von externen Partnern (Lieferanten); starke Konzentration des Knowhow auf Einzelne, sehr oft einher gehend mit wenig strukturierten und kaum dokumentierten Prozessen im Informatikbereich; daraus ergibt sich eine hohe Abhängigkeit von solchen Schlüsselpersonen; fehlende Funktionen-Trennung zwischen Rechnungswesen und Informatik weil v.a. in kleineren Unternehmen die Verantwortung und z.t. auch die Ausführung in Rechnungswesen und Informatik bei derselben Person liegen; angemessener Zugriffsschutz auf Ebene von Netzwerk und Betriebssystem, aber innerhalb der einzelnen Anwendungen kaum differenzierte Zugriffsberechtigungen sowie «schwache» Passwörter und Verzicht auf periodische Passwort-Wechsel; Individual-Lösungen und -Auswertungen in Excel oder Access, die von einzelnen Anwendern auf ihrem PC erstellt und kaum dokumentiert werden; deren Weiterentwicklung, Test und Funktionsfähigkeit sowie oft auch deren Nutzung (v.a. im Bereich Kennzahlen und MIS) sind vollumfänglich von dieser einen Person abhängig; Schwachstellen im Bereich der physischen Sicherheit (Zutritt, Rauch- und Branderkennung, Klimatisierung und Stromversorgung) von Rechenzentrum resp. Serverraum; regelmässige Erstellung von Datensicherungen, aber oftmals Schwachstellen in deren Aufbewahrung (kein Datenträger- Safe) sowie ungenügende Auslagerung und fehlende Restore-Tests (als Grundlage für Wiederherstellung nach einem gravierenden Ereignis); fehlende Vorsorge und Vorbereitung für die Bewältigung von gravierenden Ereignissen (bspw. Zerstörung des Rechenzentrums resp. des Serverraumes), obwohl die Geschäftsprozesse in hohem Mass von der Verfügbarkeit der Informatikmittel abhängig sind. 4

7 «Vorgehensmodell IT-Risikoanalyse» Das IKS im Informatikbereich Ein umfassendes IKS im Informatikbereich beinhaltet Kontrollziele und Kontrollen auf verschiedenen Ebenen: Unternehmen: Informatik-Strategie, -Organisation und -Personal, Risiko- und Sicherheits-Management sowie Steuerung und Management von Informatikprojekten; Geschäftsprozesse: Aufbau- und Ablauforganisation sowie Kontrollen primär in denjenigen Geschäftsprozessen, die einen Einfluss auf den Daten- und Wertefluss sowie auf die Rechnungslegung und Berichterstattung haben; Informatik-Anwendungen: Kontrollen bei der Erfassung, Eingabe, Verarbeitung und Ausgabe von Transaktionen und Daten sowie Kontrollen an den Schnittstellen zwischen Informatik-Anwendungen; Informatik-Betrieb: Kontrollen bei Programm-Entwicklung und -Änderungen, bei Betrieb und Konfiguration der Informatikmittel, der Systemund Datensicherheit sowie der Überwachung der Informatik. 5

8 3 Vorgehensmodell IT-Risikoanalyse Grundsätzliche Überlegungen Das «Vorgehensmodell IT-Risikoanalyse» unterstützt den Wirtschaftsprüfer in mittleren und kleineren Unter nehmen und Organisationen bei der Erkennung und Bewertung von möglichen Risiken, die vom Informatikeinsatz ausgehen. Der Wirtschaftsprüfer kann daraus Erkenntnisse gewinnen für seine eigene Prüfungsplanung und -tätigkeit sowie auch für seinen Entscheid über den Einbezug eines spezialisierten Informatikprüfers. Das Vorgehensmodell deckt die im Schweizer Prüfungsstandard PS 890 «Prüfung der Existenz des internen Kontroll systems» angesprochenen «generellen Informatik- (IT-) Kontrollen» ab. Es fokussiert auf diejenigen Bereiche, welche für die Buchführung und Rechnungslegung direkt und indirekt relevant sind, und es geht in einigen Bereichen darüber hinaus. Das Vorgehensmodell ist unabhängig von der Art der Revision (ordentlich oder eingeschränkt); es orientiert sich an der Bedeutung der Informatik für das Unternehmen sowie dessen Buchführung und Rechnungslegung. Rechtliche und regulatorische Anforderungen hinsichtlich des IT-Einsatzes und dessen Kontrolle werden im «Vorgehensmodell IT-Risikoanalyse» nicht berücksichtigt sie können aber sehr wohl ein wesentlicher Grund sein, den IT-Einsatz von einem spezialisierten IT-Prüfer beurteilen zu lassen. Inhalts-Übersicht Phase 1: Grobe Risikoeinschätzung siehe Kapitel 4 Bei der Phase 1 handelt es sich um eine Einschätzung der Risiken und Abhängigkeiten im Zusammenhang mit dem Informatikeinsatz. Sie erhebt keinen Anspruch auf Vollständigkeit und Präzision in allen Details, sondern soll den Bedarf nach einer weiteren und dann auch detaillierteren Erhebung und Beurteilung des Informatikeinsatzes aufzeigen. Nach Abschluss der Phase 1 kann der Wirtschaftsprüfer aufgrund dieser Ersteinschätzung der Risiken entscheiden, ob das Durchführen der Phase 2 notwendig ist. Phase 2: Erhebung Informatikeinsatz siehe Kapitel 5 Bei der Phase 2 handelt es sich um eine breit angelegte und angemessen detaillierte Erhebung der Stark- und Schwachstellen im Zusammenhang mit dem Informatikeinsatz. Die Bearbeitung der Fragen resp. des Fragebogens von Phase 2 kann im Rahmen der strategischen Prüfungsplanung oder auch im Rahmen der (Zwischen-) Revision erfolgen. Nach Abschluss der Phase 2 kann aufgrund der erhaltenen Erkenntnisse entschieden werden, ob und in welchen Prüffeldern eine umfassenden Informatikrevision durchzuführen ist. Fragebogen als Erhebungs- und Beurteilungsgrundlage Für beide Phasen wurde je ein Fragebogen entwickelt. Deren Umfang und Inhalt sind den Zielen der jeweiligen Phase angepasst und ermöglichen eine zielgerichtete und effiziente Bearbeitung. Die «Antworten» zu den einzelnen Fragen basieren auf einem 4-stufigen Maturitätsmodell; sie erlauben (und verlangen) dadurch eine eindeutige Bewertung eines Sachverhaltes sowie auch einen Vergleich mit anderen Unternehmen. 6

9 «Vorgehensmodell IT-Risikoanalyse» IT-Check als «Kombination» der Phasen 1 und 2 siehe Kapitel 6 Die Inhalte der beiden Phasen 1 und 2 können, insbesondere wenn die Erhebungen beider Phasen gleichzeitig von demselben Prüfer durchgeführt werden, zu einem IT-Check zusammengefasst werden. Was das «Vorgehensmodell IT-Risikoanalyse» nicht ist Das «Vorgehensmodell IT-Risikoanalyse» ist keine allumfassende Risikoanalyse es ist vielmehr ein Arbeits instrument primär für die strategische Prüfungsplanung des Wirtschaftsprüfers, das effizient eingesetzt werden kann sowie eine vernünftige Erkennung und Beurteilung der im Zusammen hang mit dem Informatikeinsatz stehenden Risiken erlaubt. Das «Vorgehensmodell IT-Risikoanalyse» ist kein Leitfaden für eine umfassende Informatikrevision; diese erachten die autoren als Domäne von spezialisierten IT-Prüfern. Zudem sind allgemein anerkannte Prüfungsansätze wie bspw. das IT Audit Framework von ISACA oder dem auf Co b it basierenden IT Governance Assurance Guide verfügbar resp. werden von grossen Prüfungsgesellschaften unternehmensspezifische Vorgehensmodelle und Arbeitspapiere eingesetzt. 7

10 4 Phase 1: Grobe Risikoeinschätzung Positionierung Die Bearbeitung der Fragen resp. des Fragebogens von Phase 1 soll im Rahmen der strategischen Prüfungsplanung erfolgen. Damit ist Gewähr geboten, dass die sich aus dem IT-Einsatz ergebenden Risiken frühzeitig erkannt werden und die Erkenntnisse in die Prüfungsplanung einfliessen können. Bei der Phase 1 handelt es sich um eine Einschätzung der Risiken und Abhängigkeiten im Zusammenhang mit dem Informatikeinsatz. Sie erhebt keinen Anspruch auf Vollständigkeit und Präzision in allen Details, sondern soll den Bedarf nach einer weiteren und dann auch detaillierteren Erhebung und Beurteilung des Informatikeinsatzes aufzeigen. Vorgehen und Beteiligte Durch die Erhebung der Phase 1 soll erkannt werden, welche Bedeutung der Informatik im Unternehmen zukommt. Aus den Antworten zu den 16 Fragen lässt sich ableiten, ob aus dem Informatikeinsatz erhöhte Risiken für das Unternehmen resultieren, welche für die strategische Prüfungsplanung des Wirtschaftsprüfers wichtig sind. Der Fragebogen der Phase 1 wird dem Kunden vorgängig zugestellt und von den für das Rechnungswesen und die Informatik verantwortlichen Personen ausgefüllt. Für den nachfolgenden Review des Fragebogens gemeinsam mit Vertretern des Unternehmens rechnen wir für den Wirtschaftsprüfer mit einem Aufwand von rund einer Stunde. Mit vernünftigem Aufwand kann so aufgrund von nachvollziehbaren Fakten beurteilt werden, ob eine vertiefte Risikoerhebung im IT-Bereich, d.h. das Auslösen der Phase 2, angezeigt ist. Fragebogen / Kriterien Der Fragebogen beinhaltet fünf Themenkreise; jeder Themenkreis beinhaltet eine bis fünf Fragen. Geschäft und IT Geschäftsstrategie und Informatikeinsatz Innovationsgrad beim Informatikeinsatz Abhängigkeit von Verfügbarkeit der Informatikmittel Interne Organisation und Kontrolle Risikomanagement Internes Kontroll-System Awareness für Informationssicherheit Funktionentrennung Stellvertretung und Anwendungs- Knowhow im Rechnungswesen IT-Anwendungen Software für das Rechnungswesen Änderungen in Kern-Anwendungen Integration Wertefluss im Rechnungswesen Programmfehler in Kern-Anwendungen Letzte IT-Prüfung Zeitpunkt der letzten unabhängigen Beurteilung Informatik IT-Betrieb Betriebssicherheit der Informatikmittel Stellvertretung in der Informatikabteilung Abhängigkeit von externem Personal (inkl. Outsourcing) Für jede Frage resp. jedes Kriterium werden «Antworten» in vier unterschiedlichen Ausprägungen (Maturitätsstufen) vorgeschlagen. 8

11 «Vorgehensmodell IT-Risikoanalyse» Geschäft und IT In diesem Themenkreis wird die Bedeutung der Informatik für das Unternehmen ermittelt. Es soll erkannt werden, wie weit die Geschäftsstrategie auf die Nutzung von Informatikmitteln setzt und in welchem Masse die Primärprozesse des Unternehmens von der Verfügbarkeit der Informatikmittel abhängig sind. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Geschäftsstrategie und Informatikeinsatz Innovationsgrad beim Informatikeinsatz Abhängigkeit von Verfügbarkeit der Informatikmittel Die Geschäftsstrategie basiert wesentlich auf der Nutzung des Internets bzw. von neuen Technologien sowie aktivem Informationsaustausch über Datennetze. Das Unternehmen nutzt eine moderne und komplexe IT-Infrastruktur und adaptiert aufkommende Technologien deutlich vor der Branche. Die IT-Verfügbarkeit ist für das Geschäft (Front geschäft resp. Primärprozesse) ein kritischer Faktor; die akzeptable Ausfallzeit liegt unter 4 Stunden. Die Geschäftsstrategie basiert teilweise auf der Nutzung des Internets bzw. von neuen Techno logien; wichtige Geschäftsprozesse basieren auf Informationsaustausch über Datennetze. Das Unternehmen nutzt eine komplexe IT-Infrastruktur und adaptiert neue Technologien ohne Verzögerung. Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft resp. Primärprozesse) wichtig; die akzeptable Ausfallzeit liegt zwischen 4 Stunden und 2 Tagen. Die Geschäftsstrategie ist kaum von neuen Technologien abhängig; wichtige Geschäftsprozesse nutzen diese Technologien aber bereits. Die Geschäftsstrategie ist nicht von neuen Technologien (z.b. Internet oder e-commerce) abhängig. Das Unternehmen nutzt Das Unternehmen nutzt eine umfangreiche, vorwiegend aus Standard- IT-Infrastruktur, die vor- eine unkomplizierte komponenten bestehende wiegend aus Standardkomponenten besteht; die IT-Infrastruktur und adaptiert neue Technologien IT-Infrastruktur bleibt eher mit Verzögerung. hinter techno logi schen Entwicklungen zurück. Die IT-Verfügbarkeit Die IT-Verfügbarkeit ist für ist für das Geschäft den operativen Betrieb (Frontgeschäft resp. (Frontgeschäft) und die Primärprozesse) bedingt internen Primärprozesse wichtig; die akzeptable unkritisch; ein Ausfall von Ausfallzeit liegt zwischen mehr als einer Woche 2 Tagen und einer Woche. scheint akzeptabel. 9

12 Interne Organisation und Kontrolle In diesem Themenkreis werden das Risikomanagement und das Interne Kontrollsystem, die Sensibilisierung bezüglich Informationssicherheit, die Funktionentrennung zwischen Informatik und Fachabteilungen sowie das Knowhow und die Stellvertretung im Rechnungswesen bewertet. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Risikomanagement Es besteht kein erkennbares Risikomanagement; zur Risikominderung werden ad hoc-massnahmen eingesetzt. Internes Kontrollaystem Awareness für Informationssicherheit Funktionentrennung Stellvertretung und Anwendungs- Knowhow im Rechnungswesen Ein Internes Kontrollsystem (IKS) ist kaum erkennbar oder ist nicht vorhanden. Die Mitarbeiter sind über ihre Verantwortung zur Einhaltung interner und externer Anforderungen zur Informationssicherheit nicht informiert. Es besteht nur eine rudimentäre, informelle Funktionentrennung; es bestehen (auch im Hinblick auf die IT) abteilungs übergreifende Funktionen. Im Unternehmen besteht nur eine rudimentäre Stellvertretung; der Ausfall von Einzelpersonen führt bereits im normalen Tagesgeschäft zu Problemen. Es besteht ein punktuelles, anwendungsspezifisches Risikomanagement, das teilweise dokumentiert ist; daraus hervorgehende Massnahmen zur Risikominderung sind nicht (einfach) erkennbar. Es besteht ein punktuelles, fachbereichsspezifisches IKS; der Dokumentationsund Aktualitätsgrad ist aber unklar. Die Mitarbeiter sind über ihre Verantwortung zur Einhaltung interner und externer Anforderungen zur Informationssicherheit informiert. Es besteht eine Funktionentrennung zwischen IT und Fachbereich; Funktionen innerhalb der Fachabteilungen werden unter Umständen nicht getrennt. Für wichtige Positionen sind Stellvertretungen definiert aber kaum geschult; ein Ausfall von Personen wirkt sich nach einigen Tagen auf das normale Tagesgeschäft aus; die Bewältigung von Problemen und Zwischenfällen ist bei einem Ausfall nicht möglich. Es besteht ein formalisiertes, firmenumfassendes Risikomanagement; es ist dokumentiert und wird periodisch aktualisiert und die daraus hervorgehenden Massnahmen zur Risikominderung sind klar erkennbar. Es besteht ein formalisiertes, firmenumfassendes IKS; es ist dokumentiert und wird periodisch aktualisiert. Die Mitarbeiter werden wiederholt auf ihre Verantwortung zur Einhaltung interner und externer Anforderungen zur Informationssicherheit hingewiesen und angemessen geschult. Es wird innerhalb der Fachbereiche auf eine funktionale Funktionentrennung geachtet; diese ist in den Aufgabenbeschreibungen dokumentiert, wird jedoch nicht kontrolliert. Es besteht ein formalisiertes, firmenumfassendes Risikomanagement; es ist dokumentiert und wird jährlich aktualisiert und die Risiken werden nachvollziehbar gemindert. Das Risikomanagement wird durch ein Control Self Assessment ergänzt. Es besteht ein formalisiertes, firmenumfassendes IKS; es ist dokumentiert und wird jährlich aktualisiert. Das IKS wird durch ein Control Self Assessment ergänzt. Die Mitarbeiter werden systematisch geschult und die Einhaltung interner und externer Anforderungen zur Informationssicherheit wird regelmässig geprüft. Es wird innerhalb der Fachbereiche konsequent auf eine funktionale Funktionentrennung geachtet; diese ist in den Aufgabenbeschreibungen dokumentiert und wird ständig kontrolliert. Für alle wesentlichen Für alle wesentlichen Positionen sind Stellvertretungen vorhanden vertretungen vorhanden Positionen sind Stell- und geschult; das normale und geschult, es Tagesgeschäft ist sichergestellt, die Bewältigung Dokumen tationen; das bestehen entsprechende von Problemen und normale Tagesgeschäft Zwischenfällen jedoch und sowie eine effektive schwierig und führt zu Problembewältigung sind Verzögerungen. sichergestellt. 10

13 «Vorgehensmodell IT-Risikoanalyse» IT-Anwendungen In diesem Themenkreis werden die Software für das Rechnungswesen und die Kern-Anwendungen sowie deren Integrationsgrad und Qualität bewertet. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Software für das Rechnungswesen Änderungen in Kern-Anwendungen Die Rechnungswesen- Anwendung ist eine Eigenentwicklung. Die Kern-Anwendungen wurden im letzten oder aktuellen Geschäftsjahr ersetzt und die «alten» Datenbestände migriert. Für das Rechnungswesen wird parametrisierbare Standardsoftware mit Möglichkeiten zur Individualprogrammierung eingesetzt. Wesentliche Teile der Kern-Anwendungen wurden im letzten oder aktuellen Geschäftsjahr ersetzt und Datenbestände migriert. Für das Rechnungswesen wird Standardsoftware eingesetzt, welche nur über eingeschränkte Möglichkeiten für Parametrisierung und Individualprogrammierung verfügt. Wesentliche Teile der Kern-Anwendungen wurden im letzten oder aktuellen Geschäftsjahr geändert (bspw. Release- Wechsel) oder erweitert. Für das Rechnungswesen wird Standardsoftware ohne jegliche Parametrisierung und ohne Möglichkeiten für Individualprogrammierung eingesetzt. Die Kern-Anwendungen wurden im letzten und aktuellen Geschäftsjahr nur geringfügig geändert oder erweitert Integration Wertefluss im Rechnungswesen Programmfehler in Kern-Anwendungen Für Kern-Anwendungen sind integrierte Lösungen mit hohem Automatisierungsgrad implementiert; der Nachvollzug von Werteund Datenflüssen bedingt Spezialistenwissen. Bei den Kern-Anwendungen treten häufig Probleme auf, die mit grossem Zeitaufwand gelöst werden müssen. Fehler und Ausfallgründe wiederholen sich häufig. Für Kern-Anwendungen sind integrierte Lösungen mit automatisierten Schnittstellen im Einsatz; Werte- und Datenflüsse sind nachvollziehbar. Fehler in Kern-Anwendungen sind selten, müssen aber mit grossem Zeitaufwand gelöst werden. Störungs- und Ausfallgründe wiederholen sich kaum. Für Kern-Anwendungen sind verschiedene Insellösungen mit (Batch-) Schnittstellen im Einsatz; Werte- und Datenflüsse sind gut nachvollziehbar. Fehler in Kern- Anwendun gen sind selten und können zeitnah gelöst werden. Fehler und Mängel sind dokumentiert. Es sind mehrere funktionsspezifische Insellösungen mit einzelnen (Batch-) Schnittstellen im Einsatz; Werte- und Datenflüsse in Anwendungen und an Schnittstellen sind anhand von Auswertungen und Schnittstellenprotokollen nachvollziehbar dokumentiert. Fehler in Kern- Anwendun gen sind sehr selten; Fehler und Mängel werden systematisch, zeitnah und nachhaltig gelöst sowie nachvollziehbar dokumentiert. 11

14 IT-Betrieb In diesem Themenkreis werden die Betriebssicherheit der Informatikmittel sowie die personelle Situation (Stellvertretung / Abhängigkeit von Externen) im Informatikbereich bewertet. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Betriebssicherheit der Informatikmittel Stellvertretung in der Informatikabteilung Abhängigkeit von externem Personal (inkl. Outsourcing- Partnern) Die IT-Mittel (Server, Clients, Netzwerk und Peripherie) sind häufigen Störungen und Ausfällen ausgesetzt; diese wirken sich auf den gesamten Geschäftsbetrieb aus. Es besteht innerhalb der IT nur eine rudimentäre Stellvertretungsregelung; der Ausfall von Einzelpersonen führt bereits im normalen IT-Betrieb zu Problemen. Das Unternehmen ist beim Betrieb der IT weitgehend von externer Unterstützung abhängig; insbesondere bei Proble men ist eine externe Unterstützung unabdingbar. Die IT-Mittel sind wiederholt Störungen und Ausfällen ausgesetzt; diese wirken sich auf den gesamten Geschäftsbetrieb aus. Für die wichtigsten Positionen innerhalb der IT sind Stellvertretungen definiert aber kaum geschult; der Ausfall von Einzelpersonen wirkt sich nach einigen Tagen auf den IT-Betrieb aus und die Bewältigung von IT-Problemen ist nicht möglich. Der Normalbetrieb der IT ist ohne externe Unterstützung weitgehend möglich; Fehler oder Probleme sind ohne externe Unterstützung kaum lösbar. Die IT-Mittel sind kaum Störungen und Ausfällen ausgesetzt; diese wirken sich nur bedingt auf den Geschäftsbetrieb aus. Für alle wesentlichen Positionen innerhalb der IT sind Stellvertretungen vorhanden und geschult, aber nicht dokumentiert; der IT-Betrieb ist sichergestellt, die Bewältigung von IT-Problemen ohne diese Personen jedoch schwierig. Der Normalbetrieb der IT ist auch ohne externe Unterstützung sichergestellt; bei Fehlern oder Problemen muss teilweise auf externe Unterstützung zurückgegriffen werden. Die IT-Mittel sind nur selten Störungen und Ausfällen ausgesetzt; diese wirken sich nur auf Teile des Geschäftsbetriebs aus. Für alle wesentlichen Positionen innerhalb der IT sind Stellvertretungen vorhanden und geschult, es bestehen ent sprechende Dokumen tationen; der IT-Betrieb und eine effektive Bewältigung von IT-Problemen sind sichergestellt. Der Normalbetrieb und die Problemhandhabung sind jederzeit ohne externe Unterstützung gewährleistet; eine externe Unterstützung ist nur in Krisensituationen erforderlich. Letzte IT-Prüfung (Zeitrisiko) Dieses Kriterium zeigt, zu welchem Zeitpunkt der Informatikeinsatz im Unternehmen letztmals von einem unabhängigen Experten beurteilt wurde. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Letzte IT-Prüfung Es wurde noch nie eine IT- Prüfung durchgeführt. Eine IT-Prüfung wurde letztmals vor mehr als 5 Jahren durchgeführt. Eine IT-Prüfung wurde letztmals vor einigen Jahren durchgeführt. Eine IT-Prüfung wurde im vergangenen Geschäftsjahr durchgeführt. Ausfüllen des Fragebogens Für jedes der 16 Kriterien wird aus den vier «Antworten» diejenige bestimmt, die den aktuellen Gegebenheiten im Unternehmen am besten entspricht. Bewertungen «zwischen» den Maturitätsstufen (1 2, 2 3 und 3 4) sollten nicht vorgenommen werden, da sie kaum einen Nutzen bieten. Im Zweifelsfall sollte die niedrigere Stufe gewählt werden, da dies das Prüfungsrisiko reduziert. 12

15 «Vorgehensmodell IT-Risikoanalyse» Interpretation der Erkenntnisse / Bewertung Die Interpretation des Fragebogens erfolgt anhand der Maturitätsstufen. Eine Maturitätsstufe entspricht bei der Bewertung der Phase I nicht unbedingt einem technischen oder organisatorischen Reifegrad sondern einem potentiellen Risikofaktor. Bspw. setzt sich ein Unternehmen mit einem Innovationsgrad (Frage 2) der Stufe 1 (d.h. mit sehr früher Adaption neuer IT-Technologien) sicher einem höheren Risiko aus als eines mit Stufe 4 (d.h. mit konservativer Adaption, standardisierter und wenig moderner IT). Die Autoren des «Vorgehensmodells IT-Risikoanalyse» gehen aufgrund ihrer Kenntnisse und Erfahrungen davon aus, dass Einstufungen im Bereich der Maturitätsstufen 4 und 3 auf geringe Risiken hinweisen; demgegenüber weisen Einstufungen im Bereich der Maturitätsstufen 2 und 1 auf erhebliche bis hohe Risiken hin. Berichterstattung Für die Berichterstattung über die Phase 1 besteht eine effiziente und gut visualisierbare Lösung darin, die Bewertung (Stufe) direkt im Fragebogen durch Einfärben der zutreffenden «Antwort» in entsprechenden Farben (z.b. 1 = rot, 2 = gelb, 3 = hellgrün und 4 = dunkelgrün) zu dokumentieren. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Geschäftsstrategie und Die Geschäftsstrategie basiert wesentlich auf der Die Geschäftsstrategie basiert teilweise auf der Nutzung Die Geschäftsstrategie ist kaum von neuen Technologien Die Geschäftsstrategie ist nicht von neuen Technologien (z.b. Informatikeinsatz Nutzung des Internets bzw. von neuen Technologien des Internets bzw. von neuen Techno logien; wichtige abhängig; wichtige Geschäfts prozesse nutzen diese Internet oder e-commerce) abhängig. sowie aktivem Infor mations austausch über Geschäfts prozesse basieren auf Informationsaustausch Techno logien aber bereits. Daten netze. über Datennetze. Innovationsgrad beim Das Unternehmen nutzt eine moderne und komplexe Das Unternehmen nutzt eine komplexe IT-Infrastruktur und Das Unternehmen nutzt eine umfangreiche, vorwiegend Das Unternehmen nutzt eine unkomplizierte IT-Infrastruktur, die Informatikeinsatz IT-Infrastruktur und adaptiert aufkommende adaptiert neue Technologien ohne Verzögerung. aus Standardkompo nenten bestehende IT-Infrastruktur vorwiegend aus Standard komponenten besteht; die IT-Infrastruktur Technologien deutlich vor der Branche. und adaptiert neue Technologien mit Verzögerung. bleibt hinter technologischen Entwicklungen zurück. Abhängigkeit von Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft Die IT-Verfügbarkeit ist für den operativen Betrieb (Frontgeschäft) Verfügbarkeit der resp. Primärprozesse) ein kritischer Faktor; resp. Primärprozesse) wichtig; die akzeptable Ausfallzeit resp. Primärprozesse) bedingt wichtig; die akzeptable und die internen Primärprozesse unkritisch; ein Ausfall von mehr Informatikmittel die akzeptable Ausfall zeit liegt unter 4 Stunden. liegt zwischen 4 Stunden und 2 Tagen. Ausfallzeit liegt zwischen 2 Tagen und einer Woche. als einer Wochen scheint akzeptabel. Risikomanagement Es besteht kein erkennbares Risikomana gement; Es besteht ein punktuelles, anwendungs spezifisches Es besteht ein formalisiertes, firmenum fassendes Es besteht ein formalisiertes, firmenumfassen des Risikomanage zur Risikominderung werden ad hoc-massnahmen Risikomanagement, das teilweise dokumentiert ist; daraus Risikomanagement; es ist doku mentiert und wird ment; es ist dokumentiert und wird jährlich aktualisiert und eingesetzt. hervor gehende Massnahmen zur Risiko minderung sind periodisch aktualisiert und die daraus hervorgehenden die Risiken werden nachvollziehbar gemindert. Das Risikomanagement nicht (einfach) erkennbar. Mass nahmen zur Risikominderung sind klar erkennbar. wird durch ein Control Self Assessment ergänzt. Internes Kontrollsystem Ein internes Kontrollsystem (IKS) ist kaum erkennbar Es besteht ein punktuelles, fachbereichs-spezifisches IKS; Es besteht ein formalisiertes, firmenum fassendes IKS; es Es besteht ein formalisiertes, firmenumfassendes IKS; es ist oder ist nicht vorhanden. der Dokumentations- und Aktualitätsgrad ist aber unklar. ist dokumentiert und wird periodisch aktualisiert. dokumentiert und wird jährlich aktualisiert. Das IKS wird durch ein Control Self Assessment ergänzt. Awareness für Die Mitarbeiter sind über ihre Verantwortung zur Die Mitarbeiter sind über ihre Verantwortung zur Die Mitarbeiter werden wiederholt auf ihre Verantwor Die Mitarbeiter werden systematisch geschult und die Einhaltung Informationssicherheit Einhaltung interner und externer Anforderungen zur Einhaltung interner und externer Anforderungen zur tung zur Einhaltung interner und externer interner und externer Anforderungen zur Informationssicherheit Informationssicherheit nicht informiert. Informationssicherheit informiert. Anforderungen zur Informations sicherheit hingewiesen wird regelmässig geprüft. und angemessen geschult. Funktionentrennung Stellvertretung und Anwendungs-Knowhow im Rechnungswesen Software für das Rechnungswesen Änderungen in Kern-Anwendungen Integration Wertefluss im Rechnungswesen Programmfehler in Kern-Anwendungen Es besteht nur eine rudimentäre, infor melle Es besteht eine Funktionentrennung zwischen IT und Es wird innerhalb der Fachbereiche auf eine funktionale Es wird innerhalb der Fachbereiche konsequent auf eine Funktionentrennung; es bestehen (auch im Hinblick Fachbereich; Funktionen innerhalb der Fachabteilungen Funktionentrennung geachtet; diese ist in den funktionale Funktionentrennung geachtet; diese ist in den auf die IT) abteilungs übergreifende Funktionen. werden unter Umständen nicht getrennt. Aufgabenbe schreibungen dokumentiert, wird jedoch Aufgabenbeschreibungen dokumentiert und wird ständig nicht kontrolliert. kontrolliert. Im Unternehmen besteht nur eine rudimentäre Für wichtige Positionen sind Stellvertre tungen definiert Für alle wesentlichen Positionen sind Stellvertretungen Für alle wesentlichen Positionen sind Stellvertretungen vorhanden und geschult, es bestehen entsprechende Dokumen- Stellvertretung; der Ausfall von Einzelpersonen führt aber kaum geschult; ein Ausfall von Personen wirkt sich vorhanden und geschult; das normale Tagesgeschäft bereits im normalen Tagesgeschäft zu Problemen. nach einigen Tagen auf das normale Tagesgeschäft aus; ist sichergestellt, die Bewältigung von Problemen tationen; das normale Tagesgeschäft und sowie eine effektive die Bewältigung von Problemen und Zwischenfällen ist bei und Zwischenfällen jedoch schwierig und führt zu Problembewältigung sind sichergestellt. einem Ausfall nicht möglich. Verzögerungen. Die Rechnungswesen-Anwendung ist eine Für das Rechnungswesen wird parametrisierbare Für das Rechnungswesen wird Standardsoftware eingesetzt, welche nur über eingeschränkte Möglichkeiten für Parametrisierung und ohne Möglichkeiten für Individualpro- Für das Rechnungswesen wird Standard software ohne jegliche Eigenentwicklung. Standardsoftware mit Möglich keiten zur Individualprogrammierung eingesetzt. Parametrisierung und Individualprogrammie rung verfügt. grammierung eingesetzt. Die Kern-Anwendungen wurden im letzten oder Wesentliche Teile der Kern-Anwendungen wurden im Wesentliche Teile der Kern-Anwendungen wurden im Die Kern-Anwendungen wurden im letzten und aktuellen aktuellen Geschäftsjahr ersetzt und die «alten» letzten oder aktuellen Geschäftsjahr ersetzt und die letzten oder aktuellen Geschäftsjahr geändert (bspw. Geschäftsjahr nur geringfügig geändert oder erweitert Datenbestände migriert. Datenbestände migriert. Release-Wechsel) oder erweitert. Für Kern-Anwendungen sind integrierte Lösungen Für Kern-Anwendungen sind integrierte Lösungen mit Für Kern-Anwendungen sind verschiedene Insellösungen Es sind mehrere funktionsspezifische Insellösungen mit einzelnen mit hohem Automatisierungs grad implementiert; der automatisierten Schnitt stellen im Einsatz; Werte- und mit (Batch-) Schnittstellen im Einsatz; Werte- und (Batch-) Schnittstellen im Einsatz; Werte- und Datenflüsse Nachvollzug von Werte- und Datenflüssen bedingt Datenflüsse sind nachvollziehbar. Datenflüsse sind gut nachvollziehbar. in An wendungen und an Schnittstellen sind anhand von Spezia listenwissen. Aus wer tungen und Schnittstellenprotokollen nachvollziehbar dokumentiert. Bei den Kern-Anwendungen treten häufig Probleme Fehler in Kern-Anwendungen sind selten, müssen aber Fehler in Kern-Anwendungen sind selten und können Fehler in Kern-Anwendungen sind sehr selten; Fehler und auf, die mit grossem Zeitauf wand gelöst werden mit grossem Zeitaufwand gelöst werden. Störungs- und zeitnah gelöst werden. Fehler und Mängel sind Mängel werden syste matisch, zeitnah und nachhaltig gelöst müssen. Fehler und Ausfallgründe wiederholen Ausfallgründe wiederholen sich kaum. dokumentiert. sowie nachvollziehbar dokumentiert. sich häufig. Betriebssicherheit der Informatikmittel Die IT-Mittel (Server, Clients, Netzwerk und Peripherie) sind häufigen Störungen und Ausfällen ausgesetzt; diese wirken sich auf den gesamten Geschäftsbetrieb aus. Die IT-Mittel sind wiederholt Störungen und Ausfällen ausgesetzt; diese wirken sich auf den gesamten Geschäftsbetrieb aus. Die IT-Mittel sind kaum Störungen und Ausfällen ausgesetzt; diese wirken sich nur bedingt auf den Geschäftsbetrieb aus. Die IT-Mittel sind nur selten Störungen und Aus fällen ausgesetzt; diese wirken sich nur auf Teile des Geschäftsbetriebs aus. Stellvertretung in der Informatikabteilung Abhängigkeit von externem Personal (inkl. Outsourcing- Partnern) Es besteht innerhalb der IT nur eine rudimentäre Stellvertretungsregelung; der Ausfall von Einzelpersonen Stell vertretungen definiert aber kaum geschult; der Ausfall Stellvertretungen vorhanden und geschult, aber nicht Für die wichtigsten Positionen innerhalb der IT sind Für alle wesentlichen Positionen innerhalb der IT sind führt bereits im normalen IT-Betrieb zu Problemen. von Einzel personen wirkt sich nach einigen Tagen auf dokumentiert; der IT-Betrieb ist sichergestellt, die den IT-Betrieb aus und die Bewältigung von IT-Problemen Bewältigung von IT-Problemen ohne diese Personen ist nicht möglich. jedoch schwierig. Das Unternehmen ist beim Betrieb der IT weitgehend Der Normalbetrieb der IT ist ohne externe Unterstützung Der Normalbetrieb der IT ist auch ohne externe von externer Unterstützung abhängig; insbesondere weitgehend möglich; Fehler oder Probleme sind ohne Unterstützung sichergestellt; bei Fehlern oder bei Problemen ist eine externe Unterstützung externe Unterstützung kaum lösbar. Problemen muss teilweise auf externe Unterstützung unabdingbar. zurückgegriffen werden. Für alle wesentlichen Positionen innerhalb der IT sind Stell vertretungen vorhanden und geschult, es bestehen entsprechende Dokumentationen; der IT-Betrieb und eine effektive Bewältigung von IT-Problemen sind sichergestellt. Der Normalbetrieb und die Problemhand habung sind jederzeit ohne externe Unterstützung gewährleistet; eine externe Unterstützung ist nur in Krisensituationen erforderlich. Zeitpunkt der letzten unabhängigen Beurteilung Informatik Es wurde noch nie eine IT-Prüfung durchgeführt. Eine IT-Prüfung wurde letztmals vor mehr als 5 Jahren durchgeführt. Eine IT-Prüfung wurde letztmals vor einigen Jahren durchgeführt. Eine IT-Prüfung wurde im vergangenen Geschäftsjahr durchgeführt. Die Erkenntnisse aus der Phase 1 können so auf einer einzigen Seite zusammenfassend dokumentiert werden. Da bei dieser Darstellungsart die Beschreibungen aller vier Maturitätsstufen ersichtlich sind, ist auch ein rascher Vergleich der eigenen Verhältnisse mit denjenigen der benachbarten (höheren / tieferen) Maturitätsstufen möglich. 13

16 Neben der umseitigen tabellarischen Darstellung der Ergebnisse eignet sich für die Erkennung der Abhängigkeit des Unternehmens von seiner IT auch sehr gut ein sogenanntes «Spinnendiagramm» nachfolgend je einmal für ein Einzelunternehmen (links) sowie für vier verschiedene Unternehmen (rechts): Stellvertretung IT Betriebssicherheit IT Zeitrisiko IT-Prüfung Abhängigkeit extern Strategie und IT Innovation IT Abhängigkeit IT IKS Risikomanagement Zeitrisiko Geschäft und IT IT-Betrieb Programmfehler Funktionentrennung REWE-Integrationsgrad Stellvertretung Kern-Anwendungen REWE-SW Awareness Interne Organisation und Kontrolle IT-Anwendungen Bank Treuhand Spital Industrie Abb: Darstellung aller 16 Kriterien abb: Zusammenfassende Darstellung der 5 Themenkreise Empfehlungen zum weiteren Vorgehen Wenn ein oder mehrere Kriterien im Bereich der Maturitätsstufen 2 und 1 liegen resp. in den Farben gelb und rot eingestuft werden, erachten die Autoren das Einleiten der Phase 2 und damit eine vertiefe Erhebung und Beurteilung des Informatikeinsatzes als angezeigt. Letztlich obliegt es dem Wirtschaftsprüfer resp. dessen «Professional Judgement», die in der Phase 1 gewonnenen Erkenntnisse zu Risiken und Abhängigkeiten im Zusammenhang mit dem Informatikeinsatz hinsichtlich deren Bedeutung für die Abschlussprüfung zu bewerten. Dazu kann es sinnvoll sein, die Erkenntnisse und die Notwendigkeit einer vertiefen Erhebung und Beurteilung des Informatikeinsatzes mit einem erfahrenen IT-Prüfer zu besprechen. 14

17 «Vorgehensmodell IT-Risikoanalyse» 5 Phase 2: Erhebung Informatikeinsatz Positionierung Bei der Phase 2 handelt es sich um eine breit angelegte und angemessen detaillierte Erhebung der Stark- und Schwachstellen im Zusammenhang mit dem Informatikeinsatz. Die Bearbeitung der Fragen resp. des Fragebogens von Phase 2 kann im Rahmen der strategischen Prüfungsplanung oder auch im Rahmen der (Zwischen-) Revision erfolgen. Die Erkenntnisse aus der Phase 2 können bezüglich den im PS 890 angesprochenen «Generellen Informatik- (IT-) Kontrollen» zur abschliessenden Beurteilung dienen sie können aber auch die Notwendigkeit einer umfassenden und/ oder tief gehenden Erhebung und Beurteilung des Informatikeinsatzes insgesamt oder von spezifischen Prüffeldern mit Fakten belegen. Vorgehen und Beteiligte Die Erhebungen zur Phase 2 sollten von einem mit Informatikprüfungen vertrauten Wirtschaftsprüfer oder von einem IT- Prüfer vorgenommen werden. Sie umfassen, neben einer Besichtigung der IT-Infrastruktur und dem Einblick in vorhandene Unterlagen, vertiefende Gespräche mit Vertretern aus dem Informatikbereich des Unternehmens. Für die Erhebungen «vor Ort» inkl. Bearbeiten des Fragebogens rechnen wir mit einem Aufwand von ca. 1 Tag; der aufwand ist stark abhängig vom Umfang des Informatikeinsatzes und der Anzahl einzubeziehender Gesprächspartner. Nach Abschluss der Phase 2 können verlässliche Aussagen zu vorhandenen Risiken im Informatikbereich und konkreten Schwachstellen gemacht werden. Darauf basierend kann beurteilt werden, ob und in welchen Prüffeldern eine umfassende Informatikrevision angezeigt ist. Fragebogen / Kriterien ( Details siehe Anhang 2) Der Fragebogen der Phase 2 umfasst 20 Themenbereiche mit durchschnittlich 4 Prüfpunkten; er deckt nach Einschätzung der Autoren die im Schweizer Prüfungsstandard PS 890 «Prüfung der Existenz des internen Kontrollsystems» angesprochenen «Generellen IT-Kontrollen» vollumfänglich ab resp. geht in einzelnen Bereichen zur Reduktion des Prüfungsrisikos bewusst darüber hinaus. Der Fragebogen beinhaltet insgesamt rund 90 Kriterien (Prüfpunkte) zu folgenden Themenbereichen: IT-relevante Dokumentation Zugriffsschutz Organisation der IT IT-Sicherheit IT-Governance Physische Sicherheit IT-Risikomanagement IT-Betrieb Compliance Problem-Management IT-Projektmanagement Datensicherung Software-Entwicklung und -Änderungen Outsourcing (falls relevant) Testen von IT-Anwendungen Rechnungswesen Anwender-Richtlinien Direkte Anwendungskontrollen Anwender-Ausbildung Unterstützende Anwendungskontrollen) 15

18 Bei einem grossen Teil der aufgeführten Themenbereiche handelt es sich um generelle IT-Kontrollen; zusätzlich werden weitere Bereiche erhoben, welche für den Wirtschaftsprüfer wichtig sind und eine genauere Erkennung von ggf. vorhandenen Schwachstellen und Risiken ermöglichen. Ausfüllen des Fragebogens Für jedes Kriterium wird aus den vier «Antworten» diejenige bestimmt, die den aktuellen Gegebenheiten im Unternehmen am besten entspricht. Die Bewertung (Stufe) wird in der Spalte «Stufe» des Fragebogens festgehalten oder direkt durch Ankreuzen der entsprechenden «Antwort» festgehalten. Für die Beurteilung und die Berichterstattung ist es sinnvoll, in der Spalte «Feststellung / Beurteilung / Empfehlung» ergänzende Hinweise zu machen; solche Hinweise werden idealerweise mit einem «F» für Feststellung, «B» für Beurteilung und «E» für Empfehlung gekennzeichnet. Bewertungen «zwischen» den Maturitätsstufen (1 2, 2 3 und 3 4) sollten nicht vorgenommen werden; die Autoren empfehlen, zur Reduktion des Prüfungsrisikos im Zweifelsfall die tiefere Stufe zu wählen (also z.b. statt 1 2 die 1). Wenn ein Kriterium nicht relevant ist für das Unternehmen (bspw. die Fragen zum Outsourcing), kann in der Spalte «Stufe» des Fragebogens der Wert «n.a.» (nicht anwendbar) eingetragen werden. Interpretation der Erkenntnisse / Bewertung Die Interpretation des Fragebogens erfolgt anhand der Maturitätsstufen; diese entsprechen aber im Gegensatz zur Phase 1 eher einem technischen oder organisatorischen Reifegrad und nicht unbedingt einem potentiellen Risikofaktor. Es besteht aber nachweislich ein Zusammenhang zwischen der Prozess-Maturität und dem jeweiligen Risiko. Die Autoren des Vorgehensmodells IT-Risikoanalyse gehen aufgrund ihrer Kenntnisse und Erfahrungen davon aus, dass Einstufungen im Bereich der Maturitätsstufen 4 und 3 auf einen guten Reifegrad und geringe Risiken hinweisen. Demgegenüber weisen Einstufungen im Bereich der Maturitätsstufen 2 und 1 auf einen ungenügenden Reifegrad resp. erhebliche bis hohe Risiken hin. 16

19 «Vorgehensmodell IT-Risikoanalyse» Berichterstattung Angesichts des Umfanges des Fragebogens sehen wir verschiedene Ansätze zur Berichterstattung über die Phase 2; im Folgenden beschreiben wir zwei von uns mehrfach erprobte Varianten. Fokus auf detaillierte Darstellung IST-Zustand Eine umfassende Berichterstattung ist durch Einfärben der pro Kriterium zutreffenden Antwort oder der Spalte «Stufe» in der passenden Farbe (1 = rot, 2 = gelb, 3 = hellgrün und 4 = dunkelgrün) möglich. Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4 Feststellungen Auswirkungen Empfehlungen IT-relevante Dokumentation Übersicht IT- Infrastruktur Hardware- Inventare Software- Inventare Verträge und Dienstleistungsvereinbarungen Es besteht keine Übersicht über die Informatik-Infrastruktur. Es besteht kein Hardware- Inventar. Es besteht kein Software- Inventar. Es bestehen kaum Verträge zwischen dem Informatikbereich und Dritten, obwohl Leistungen bezogen werden. Es besteht eine veraltete (älter als 1 jahr) Übersicht über die Informatik-Infrastruktur. Es besteht ein veraltetes (älter als 1 Jahr) Hardware- Inventar. Es besteht ein veraltetes (älter als 1 Jahr) Software- Inventar. Es bestehen eine Übersicht/ Zusammenstellung von im Informatikbereich relevanten Verträge mit Dritten (Lieferanten, Kunden, Partner); diese ist jedoch unvollständig und nicht aktuell. Eine aktuelle Übersicht der Eine aktuelle Übersicht wesentlichen Komponenten der gesamten Informatikder Informatik-Infrastruktur Infra struktur (Systeme (Systeme und Vernetzung) und Ver netzung) besteht. besteht. Beschaffungs-, Projekt- und Änderungsprozes- Änderungsprozesse beinhal- Beschaffungs-, Projekt- und se führen nicht zwangsläufig ten die zwingende Aktualisierung dieser Übersicht. zu einer Aktualisierung dieser Übersicht. Ein Hardware-Inventar wird aktuell geführt; Beschaffungsprozesse stellen jedoch die zwingende Aktualisierung dieses Inventars nicht sicher. Ein Hardware-Inventar wird aktuell und vollständig geführt. Beschaffungs- und Projektprozesse beinhalten die zwingende Aktualisierung dieses Inventars sowie Anpassung/Abschluss allfälliger Wartungsverträge. Ein Software-Inventar (auch Ein Software-Inventar (auch für die Lizenzkontrolle) wird für die Lizenzkontrolle) aktuell geführt; Beschaffungsprozesse stellen jedoch geführt. Beschaffungs- und wird aktuell und vollständig die zwingende Aktualisierung dieses Inventars nicht die zwingende Aktualisie- Projektprozesse beinhalten sicher. rung dieses Inventars sowie die Klärung allfälliger Lizenzierungs- und Nachlizenzierungsfragen. Es besteht eine Übersicht/ Zusammenstellung aller im Informatikbereich relevanten Verträge mit Dritten (Lieferanten, Kunden, Partner). Es besteht eine Übersicht/ Zusammenstellung aller im Informatikbereich relevanten Verträge mit Dritten (Lieferanten, Kunden, Partner). Sie wird zentral und aktuell geführt und beinhaltet alle Verträge sowie zugehörigen Dokumente wie SLA usw. Die Erkenntnisse aus der Phase 2 können so d.h. pro Kriterium mit Stark- und Schwachstellen auf ca. 10 Seiten (Format A4) umfassend visualisiert werden. Eine «inhaltliche» Beurteilung ist anhand der Beschreibungen zu den einzelnen Stufen sowie zusätzlich über die Spalte «Feststellung / Beurteilung / Empfehlung» gegeben. Fokus auf Darstellung Handlungsbedarf Wenn primär eine Aussage zum «Handlungsbedarf» gefragt ist, kann der Umfang der Berichterstattung dadurch reduziert werden, dass alle Kriterien mit Bewertungen den Stufen 3 und 4 (gute Kontrolle / wenig Risiko) sowie «n.a.» (nicht anwendbar) «unterdrückt» werden. Die bestehenden Schwachstellen und damit der Handlungsbedarf können so, je nach Situation, auf einigen wenigen Seiten (Format A4) zusammengefasst werden. 17

20 Grafische Darstellung IST-Zustand Für die Praxis erscheint den Autoren als zweckmässig, wenn eine Zusammenfassung der Bewertungen pro Themenbereich gemacht und bspw. in einem Kreisdiagramm dargestellt wird. Durch entsprechende Farbgebung können der IST-Zustand (hier grün) und der «potentielle» Handlungsbedarf (hier rot) sehr gut visualisiert werden. IT-relevante Dokumentationen unterstützende Anwendungskontrolle 4 Organisation der IT direkte Anwendungskontrolle Rechnungswesen-Anwendung Outsourcing Datensicherung IT-Governance Compliance IT-Risikomanagement IT-Projektmanagement Problem Management Software-Entwicklung IT-Betrieb Testen von IT-Anwendungen Physische Sicherheit IT-Sicherheit Zugriffschutz Anwender-Richtlinien Anwender-Ausbildung Ergänzender Kurzbericht Es erscheint den Autoren als zweckdienlich, wenn die wesentlichen Stark- und Schwachstellen sowie die wichtigsten Empfehlungen zur Optimierung der Situation in einem Kurzbericht zuhanden von Management, Verwaltungsrat und Wirtschaftsprüfer zusammengefasst werden. Der Kurzbericht ist eine wertvolle Ergänzung zur oben skizzierten grafischen Darstellung des IST-Zustandes und ermöglicht es, eine Gesamt-Beurteilung zum aktuellen Stand und Handlungsbedarf abzugeben sowie ggf. die Notwendigkeit einer detaillierten IT-Prüfung zu begründen. Empfehlungen zum weiteren Vorgehen Wenn eine grössere Zahl von Kriterien im Bereich der Maturitätsstufen 2 und 1 eingestuft werden, erachten die Autoren das Einleiten einer umfassenden Informatikrevision resp. eine weiter gehende Prüfung des Informatikeinsatzes insgesamt oder von spezifischen Prüffeldern als angezeigt. Letztlich obliegt es dem Wirtschaftsprüfer resp. dessen «Professional Judgement» bevorzugt im Gespräch mit einem erfahrenen IT-Prüfer die in den Phasen 1 und 2 gewonnenen Erkenntnisse zum Informatikeinsatz sowie die damit einher gehenden Schwachstellen und Risiken hinsichtlich deren Bedeutung für die Abschlussprüfung zu bewerten. 18

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung ISACA / SVI - IT-isikoanalyse IT-isikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung Peter Steuri Certified Information Systems Auditor dipl. Wirtschaftsinformatiker BDO

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Was ist der ehealthcheck?

Was ist der ehealthcheck? Kontrollen im Informatikbereich sind umso wichtiger, je stärker ein Unternehmen von Informatik-Systemen abhängig ist und je höher das Risiko ist, dass Fehler in den Geschäftsprozessen ihre Ursache im Aufbau

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und IT-Risikomanagement

Rudolf Schraml. Beratung und Vertrieb IT-Security und IT-Risikomanagement Rudolf Schraml Beratung und Vertrieb IT-Security und IT-Risikomanagement CISO (Chief Information Security Officer) Ein IT-Job mit Zukunft Inhalt Wer oder was ist ein CISO? Warum ein CISO? IT - Risikomanagementprozess

Mehr

Übersicht der Fehler

Übersicht der Fehler 1 Fehler vermeiden! Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer Wie man es nicht verwenden sollte Peter R. Bitterli, CISA, CISM, CGEIT Bitterli Consulting AG & BPREX Group AG Übersicht

Mehr

Die Lehren aus der Aufsichtstätigkeit der RAB

Die Lehren aus der Aufsichtstätigkeit der RAB Die Lehren aus der Aufsichtstätigkeit der RAB Wie immer: Eine sehr persönliche Zusammenfassung des Tages (unvollständig, mit Beispielen) Was ich gehört und verstanden habe Nicht unbedingt was die Referenten

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede 10.10.2014

Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede 10.10.2014 Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede 10.10.2014 Woher weiß ich, dass sich der ganze Aufwand lohnt? Komplexitätstreiber: viele Mitarbeiter viele

Mehr

Risikomanagement zahlt sich aus

Risikomanagement zahlt sich aus Risikomanagement zahlt sich aus Thurgauer Technologieforum Risikobeurteilung - Was bedeutet das für meinen Betrieb? Tägerwilen, 19.11.2008 1 Ausgangslage (1) Jede verantwortungsbewusste Unternehmensleitung

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Prüfung einer mehrstufigen Datenmigration ein Fall aus der Praxis

Prüfung einer mehrstufigen Datenmigration ein Fall aus der Praxis Prüfung einer mehrstufigen Datenmigration ein Fall aus der Praxis Peter Steuri Partner / Leiter IT-Prüfung und -Beratung BDO AG, Solothurn Ausgangslage / Zielsetzungen Ausgangslage Sehr grosses, global

Mehr

IKS der Soloth. Landw. Kreditkasse. Suissemelio Tagung vom 1.12.2009

IKS der Soloth. Landw. Kreditkasse. Suissemelio Tagung vom 1.12.2009 IKS der Soloth. Landw. Kreditkasse Suissemelio Tagung vom 1.12.2009 Überblick Risikopolitik Erwartungen an ein IKS Prozessdefinitionen als Grundlage Entwicklung eines IKS Erfahrungen 16.12.2009 2 Risikopolitik

Mehr

IKS KURZ-CHECK. Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem

IKS KURZ-CHECK. Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem IKS KURZ-CHECK Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem Ausgangssituation Mit der am 1. Januar 2008 in Kraft getretenen Revision des Schweizer Obligationsrechtes (insb. Art. 728a, 728b,

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Internes Kontrollsystem (IKS)

Internes Kontrollsystem (IKS) Internes Kontrollsystem (IKS) Unter dem Begriff des Internen Kontrollsystems werden allgemein Vorgänge und Massnahmen einer Unternehmung zusammengefasst, welche in Prozesse eingreifen, um deren korrekten

Mehr

Fall 4: Standard Software falsch behandelt

Fall 4: Standard Software falsch behandelt Fall 4: Standard Software falsch behandelt Bernhard Hamberger Partner Ernst & Young, Bern 4: Standard-Software falsch behandelt Fehlende Prüfungshandlungen im Bereich ERP-Systeme Das Unternehmen hat ein

Mehr

Information Security The Information Security Assurance Assessment Model (ISAAM) can be used to evaluate the information security posture.

Information Security The Information Security Assurance Assessment Model (ISAAM) can be used to evaluate the information security posture. Nr. 04 Dezember 2012 www.isaca.ch Newsletter IKS IT Dokumentierte IT-Kontrollen erhöhen die Zuverlässigkeit der Geschäftsabwicklung. Seite 73 Information Security The Information Security Assurance Assessment

Mehr

Angebot MS KMU-Dienste Kurzbeschreibung Bedürfnisse des Kunden Dienstleistungen MS KMU-Dienste

Angebot MS KMU-Dienste Kurzbeschreibung Bedürfnisse des Kunden Dienstleistungen MS KMU-Dienste September 2015 / 1 1. Beratung Management- Systeme Prozess-Management Identifizieren, Gestalten, Dokumentieren, Implementieren, Steuern und Verbessern der Geschäftsprozesse Klarheit über eigene Prozesse

Mehr

CALL CENTER- KURZ CHECK

CALL CENTER- KURZ CHECK CALL CENTER- KURZ CHECK DER KARER CONSULTING KURZ-CHECK FÜR IHREN TELEFONISCHEN KUNDENSERVICE Call Center Kurz Check White Paper 1 Einleitung Wollen Sie genau wissen, wie der aktuelle Stand in Ihrem telefonischen

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme 1 Die Unternehmens-IT steht vor vielfältigen Herausforderungen: Kostenreduzierung, Standardisierung, Komplexitätsreduktion, Virtualisierung, Verfügbarkeit und Steuerung externer Dienstleister werden häufig

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen

26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen 1 26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen Wie immer: Eine sehr persönliche Zusammen-fassung des Tages (unvollständig, mit Beispielen) Was ich gehört und verstanden

Mehr

ZKI-Herbsttagung 2010 Evaluation von IT-Organisationen 22. September 2010. Dr. Hansjörg Neeb

ZKI-Herbsttagung 2010 Evaluation von IT-Organisationen 22. September 2010. Dr. Hansjörg Neeb Evaluation von IT-Organisationen Dr. Hansjörg Neeb Die gegenseitige Erwartungshaltung von Fachbereichen und IT ist konfliktträchtig Fachbereiche Typische Aussagen: Anwendung xy soll bei uns eingeführt

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME

IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME in Wirtschafts- und Verwaltungsunternehmungen Internal Audit, CIA, Internal Control

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

TAMMEN LORENZ CONSULTING. Feed Back. Selbstbild. Fremdbild

TAMMEN LORENZ CONSULTING. Feed Back. Selbstbild. Fremdbild LORENZ CONSULTING. TAMMEN 360 Feed Back Selbstbild. Fremdbild Feedback. Wozu? Es geht um Ihre Mitarbeiter. Was sie können. Was sie können sollten. Wie sie auf andere im Unternehmen wirken. Welche Potentiale

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems (PS 890)

Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems (PS 890) Schweizer Prüfungsstandard: Prüfung der Existenz des internen Kontrollsystems (PS 890) Der vorliegende Schweizer Prüfungsstandard (PS) wurde vom Vorstand der Treuhand-Kammer am 17. Dezember 2007 verabschiedet.

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Migration in das neue Hauptbuch von SAP ERP: Zielsetzung: Ordnungsgemäße Buchführung erhalten

Migration in das neue Hauptbuch von SAP ERP: Zielsetzung: Ordnungsgemäße Buchführung erhalten August 2007 Autor: Jörg Siebert Migration in das neue Hauptbuch von SAP ERP: Zielsetzung: Ordnungsgemäße Buchführung erhalten Oberstes Gebot bei der Migration des Hauptbuchs ist es, die Ordnungsmäßigkeit

Mehr

12. Juni 2013 Audit Analytics clevere Datenanalysen im Prüfungsumfeld

12. Juni 2013 Audit Analytics clevere Datenanalysen im Prüfungsumfeld 12. Juni 2013 Audit Analytics clevere Datenanalysen im Prüfungsumfeld Wie immer: Eine sehr persönliche Zusammen-fassung des Tages (unvollständig, mit Beispielen) Was ich gehört und verstanden habe Nicht

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

19.03.2012, 11:30-13:30 Uhr

19.03.2012, 11:30-13:30 Uhr Fakultät für Wirtschaftswissenschaft Matrikelnr. Name Vorname : Termin: Prüfer: Modul 31311 IT Governance 19.03.2012, 11:30-13:30 Uhr Univ.-Prof. Dr. U. Baumöl Aufbau und Bewertung der Aufgabe 1 2 3 4

Mehr

IT Risikomanagement in Integrationsprojekten. NETZGUIDE Ausgabe Mai 2009

IT Risikomanagement in Integrationsprojekten. NETZGUIDE Ausgabe Mai 2009 IT Risikomanagement in Integrationsprojekten NETZGUIDE Ausgabe Mai 2009 Trends IT-risikomanagement in Integrationsprojekten Integrationsprojekte machen Geschäftsprozesse effizienter. Gleichzeitig erhöhen

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

INTERNES KONTROLLSYSTEM - EINE WEGLEITUNG FÜR DIE EXEKUTIVE UND VERWALTUNGSFÜHRUNG

INTERNES KONTROLLSYSTEM - EINE WEGLEITUNG FÜR DIE EXEKUTIVE UND VERWALTUNGSFÜHRUNG E DES GEMEINDEAMT ABTEILUNG KANTONS ZÜRICH GEMEINDEFINANZEN INTERNES KONTROLLSYSTEM - EINE WEGLEITUNG FÜR DIE EXEKUTIVE UND VERWALTUNGSFÜHRUNG 1. EINLEITUNG Internationale Finanzskandale, der Druck ausländischer

Mehr

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11. Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Interne Revision als Voraussetzung für ein effektives Risikomanagement. Internal Audit Services (IAS)

Interne Revision als Voraussetzung für ein effektives Risikomanagement. Internal Audit Services (IAS) Interne Revision als Voraussetzung für ein effektives Risikomanagement Internal Audit Services (IAS) Die moderne Rolle der Internen Revision Erhöhte Anforderungen an Unternehmensleitung und Interne Revision

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Cyber-Sicherheitscheck - Juli 2015 Inhalt 1 2 3 Einleitung und Herausforderungen Unsere Methodik Ihr Nutzen IT-Advisory 2 Cyber-Sicherheit eine Definition Cyber-Sicherheit

Mehr

Adlerblick So gewinnen Sie einen Überblick über ein DWH Dr. Andrea Kennel InfoPunkt Kennel GmbH CH-8600 Dübendorf Schlüsselworte Einleitung

Adlerblick So gewinnen Sie einen Überblick über ein DWH Dr. Andrea Kennel InfoPunkt Kennel GmbH CH-8600 Dübendorf Schlüsselworte Einleitung Adlerblick So gewinnen Sie einen Überblick über ein DWH Dr. Andrea Kennel InfoPunkt Kennel GmbH CH-8600 Dübendorf Schlüsselworte DWH Projekt, Methodik, Stärken und Schwächen, Übersicht, Weg der Daten,

Mehr

Aktuelle Herausforderungen der Revision im IT-Umfeld

Aktuelle Herausforderungen der Revision im IT-Umfeld 1 Aktuelle Herausforderungen der Revision im IT-Umfeld Bewegen Sie sich jetzt, bevor Sie untergehen! Peter R. Bitterli, CISA, CISM, CGEIT http://www.bitterli-consulting.ch prb@bitterli-consulting.ch Bitte

Mehr

Risikomanagement-System (RMS) Effizientes Risikomanagement-Tool für Treuhänder

Risikomanagement-System (RMS) Effizientes Risikomanagement-Tool für Treuhänder espbusiness Risikomanagement-System (RMS) Effizientes Risikomanagement-Tool für Treuhänder Version 2010-01 / esp business ag Risikomanagement - worum geht es und wer ist davon betroffen? Per 1.1.2008 sind

Mehr

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem 17. Bundesfachtagung IKS Transparenz schafft Sicherheit Erfolgsfaktor Internes Kontrollsystem Mag. Gunnar Frei Warum braucht eine Gemeinde ein IKS? Landeskriminalamt ermittelt Wie aus gut informierten

Mehr

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System Qualität und Führung 18. Juni 2008 Integration IKS ins bestehende Management System 0 3. Integration ins Management System Nutzen -> und Grenzen!!! Risikomanagement (RM) Integration der notwendigen Risikobeurteilung

Mehr

=> Internes Kontrollsysteme (IKS) Version 08.2011

=> Internes Kontrollsysteme (IKS) Version 08.2011 Forum für Controlling AG, Burgdorf Checkliste by Forum für Controlling AG, Burgdorf => Internes Kontrollsysteme (IKS) Version 08.2011 Punkt Inhalt Sind formelle Voraussetzungen erfüllt, damit IKS eingeführt

Mehr

Integriertes Service Management

Integriertes Service Management Servicebestellung bis zur Abrechnung PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG Themen Ziel-Workflow Service Catalog Change Configuration und

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen Software Asset Management (SAM) Vorgehensweise zur Einführung Bernhard Schweitzer Manager Professional Services Agenda Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Mehr

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Deutsche Übersetzung. Im Zweifelsfall gilt das englische Original Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Ausgabe 2012 Verpflichtung gegenüber der Gesellschaft

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand SOLUTION Q_RISKMANAGER 2.0 Das Risikomanagementsystem für den Mittelstand Q4/2012 Q_Riskmanager als webbasierte Lösung des Risikomanagements unter Solvency II Solvency II stellt Unternehmen vor neue Herausforderungen

Mehr

Whitepaper Eingangsrechnungsbearbeitung mit Workflowunterstützung

Whitepaper Eingangsrechnungsbearbeitung mit Workflowunterstützung Whitepaper Eingangsrechnungsbearbeitung mit Workflowunterstützung Inhalt 1. Workflow-Management-Systeme im Überblick 2 1.1. SAP Business Workflow 3 2. Eingangsrechnungsbearbeitung mit Workflowunterstützung

Mehr

IKS Gemeinden. PricewaterhouseCoopers. Fachtagung Verband für öffentliches Finanz- und Rechnungswesen Solothurn, 8. September 2009

IKS Gemeinden. PricewaterhouseCoopers. Fachtagung Verband für öffentliches Finanz- und Rechnungswesen Solothurn, 8. September 2009 PricewaterhouseCoopers IKS Gemeinden Fachtagung Verband für öffentliches Finanz- und Rechnungswesen Solothurn, Roland Schegg, PwC St. Gallen Agenda Einbettung IKS in Gemeinde-Governance Struktur Kontrollsystem

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Professioneller IT-Betrieb für Ihr Unternehmen

Professioneller IT-Betrieb für Ihr Unternehmen Professioneller IT-Betrieb für Ihr Unternehmen Ihre Herausforderung unsere Lösung Ein funktionierender, sicherer und bezahlbarer Informatikbetrieb ist Ihnen ein Bedürfnis. Die Informatik ist in den letzten

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Prüfpunkte IKSE: Unternehmensweite Kontrollen & IKS Framework

Prüfpunkte IKSE: Unternehmensweite Kontrollen & IKS Framework Versicherungsunternehmen Zulassungstyp Prüfgesellschaft Leitender Berichtsjahr 2015 Version Vorlage 28.04.2015 FINMA Geschäftsbereich Versicherungen Seite 1 von 1 Basisprüfung_Prüfpunkte IKSE_Roll Out

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Qualitätsaudits und Management-Review

Qualitätsaudits und Management-Review Ausgabe 2 Seite 1 von 4 Qualitätsaudits und Management-Review 1 Qualitätsaudits Der Qualitätsmanagement-Beauftragte führt interne Qualitätsaudits durch, bei denen jeder Bereich inklusive der POCT-Beauftragten

Mehr

Bearbeitungsreglement betreffend Datenschutz

Bearbeitungsreglement betreffend Datenschutz Bearbeitungsreglement betreffend Datenschutz rhenusana heinrich-wild-strasse 210 9435 heerbrugg Tel. 071 727 88 00 Fax 071 727 88 99 e-mail: info@rhenusana.ch Ausgabe 01.12.2013 Ausgangslage Dieses Dokument

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr