Vorgehensmodell IT-Risikoanalyse

Größe: px
Ab Seite anzeigen:

Download "Vorgehensmodell IT-Risikoanalyse"

Transkript

1 Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer sse oze tspr chäf Ges nw IT-A IT-Ba ITA CS Tr a in in g e stem sissy tur truk fras IT-In en ung end

2

3 «Vorgehensmodell IT-Risikoanalyse» Inhaltsverzeichnis Inhaltsverzeichnis 1 Übersicht und Abgrenzung 2 Einführung 4 Vorgehensmodell IT-Risikoanalyse 6 Phase 1: Grobe Abhängigkeits-Einschätzung 8 Phase 2: Erhebung Informatikeinsatz 15 IT-Check als «Kombination» der Phasen 1 und 2 19 Hinweise zu umfassenderen Informatikrevisionen 21 Schlusswort 24 Fragebogen Phase I (Anhang 1) 25 Fragebogen Phase II (Anhang 2) 27 Autoren: Fachstab für Informatik der Treuhand-Kammer Projektleitung: Peter R. Bitterli und Peter Steuri Grafiken und Layout: Felice Lutz, ITACS Training AG 1

4 1 Übersicht und Abgrenzung Abgrenzung des Vorgehensmodells Ein integrierter Prüfansatz von Wirtschaftsprüfer und IT-Prüfer stellt sicher, dass alle wichtigen Gebiete mit anwendungsabhängigen verfahrens- oder ergebnisorientierten Prüfungen ausreichend abgedeckt werden und gleichzeitig diejenigen IT-spezifischen Gebiete geprüft werden, die ebenfalls einen primären Einfluss auf das Prüfziel des Wirtschaftsprüfer haben. Ohne ein aufeinander angestimmtes Vorgehen von Wirtschaftsprüfer und IT-Prüfer besteht hier ein erhöhtes Prüfungsrisiko. Um diesem Prüfungsrisiko zu entgegnen, haben Mitglieder des Fachstabs Informatik der Treuhand-Kammer zwei Vorgehensmodelle geschaffen. Diese basieren auf einem vierstufigen Schichtenmodell, welches die wesentlichen Zusammenhänge vereinfacht und generisch darstellt. In der Realität können die Zusammenhänge wesentlich komplexer sein, doch ist diese Abstraktion für das Verständnis der beiden Vorgehensmodelle zweckdienlich. Im Vorgehensmodell abgedeckt Im Vorgehensmodel nicht abgedeckt Generelle IT-Kontrollen Kontrollumgebung (Richtlinien, Direktiven) Softwareentwicklung IT-Änderungen IT-Betrieb Zugriffskontrolle Systemsicherheit Datensicherheit Überwachung Geschäftsprozesse IT-Anwendungen IT-Basissysteme IT-Infrastruktur IT-Anwendungskontrollen Vollständigkeit Genauigkeit Gültigkeit Berechtigung Rollentrennung Vierstufiges Schichtenmodell Die obige Abbildung zeigt vereinfacht das in den beiden vom Fachstab Informatik entwickelten Vorgehensmodellen verwendete Schichtenmodell. Jede der vier Schichten steht für eine Art von Prozessen und Ressourcen: In der obersten (blauen) Schicht finden wir alle wesentlichen (manuellen) Geschäftsprozesse typischerweise aufgeteilt nach verantwortlichen Fachbereichen und in Sub-Prozesse und einzelne Aktivitäten; In der zweiten (roten) Schicht finden wir die automatisierten Teile der Geschäftsprozesse, die eigentlichen (IT-) Anwendungen. Mit Ausnahme der wirklich kleinen KMU wird bei praktisch allen Unternehmen der grösste Teil der Geschäftsfälle mit Hilfe solcher Anwendungen verarbeitet. In der dritten (gelben) Schicht finden wir die IT-Basissysteme. Dieser Begriff umfasst eine grosse Vielfalt möglicher Plattformen, auf denen die eigentlichen Anwendungen der zweiten Schicht laufen. Beispiele sind Datenbank-Verwaltungssysteme (z.b. SQL, Oracle), die Basiskomponenten integrierter Anwendungen (z.b. SAP-Basis) oder auch eher technische Verarbeitungssysteme (z.b. Middleware). In der untersten (grünen) Schicht finden wir die Informatik-Infrastruktur. Im Wesentlichen umfasst diese die eigentliche Hardware (Midrange-Systeme, Server) wie auch die zugehörigen Netzwerk-Komponenten und technischen Überwachungssysteme. 2

5 «Vorgehensmodell IT-Risikoanalyse» Vorgehensmodell Anwendungsprüfung Das «Vorgehensmodell Anwendungsprüfung» wurde 2008 veröffentlicht und ist heute auf Deutsch (www.treuhand-kammer.ch), auf Französisch (www.afai.fr) und Englisch (www.isaca.ch) erhältlich. Es beschäftigt sich primär mit den oberen beiden Schichten, also den anwendungsabhängigen Kontrollen in den Geschäftsprozessen und den sie unterstützenden Anwendungen. Der aufgezeigte Ansatz soll den Abschlussprüfer in der Entwicklung eines integrierten Prüfungsansatzes unterstützen und durch den Einbezug der Prüfung der relevanten Geschäftsprozesse und entsprechenden Anwendungen zu einem effizienten und besser auf die Risiken ausgerichteten Prüfungsvorgehen führen. Der Ansatz beginnt deshalb mit der Analyse der finanziellen Rechnung des Unternehmens und resultiert in der Betrachtung der Auswirkungen der erlangten Prüfungsergebnisse auf diese Rechnung. In dieser Analyse der finanziellen Rechnung des Unternehmens erfolgt eine Zuordnung der wesentlichen Rechnungspositionen zu den relevanten Geschäftsprozessen resp. eine Klärung der Fragen: Aus welchen Datenflüssen werden die wesentlichen Rechnungspositionen «produziert» und welche Kern-Anwendungen verwalten diese Datenflüsse? Bei den identifizierten Kern-Anwendungen interessiert sich der Prüfer in der Folge für die Qualität des Kontrollsystems. Dabei beurteilt er zuerst, ob die Konzeption des Kontrollsystems eine angemessene Antwort auf die bestehende Risikosituation der Geschäftsprozesse darstellt und danach, ob die vorgesehenen Kontrollen implementiert und wirksam sind. Mit der Beurteilung des Kontrollsystems der im Prüfungsumfang berücksichtigten Geschäftsprozesse erlangt der Prüfer Hinweise, in wie weit er auf die Verfahren und Kern-Anwendungen, aus welchen die wesentlichen Rechnungspositionen entstehen, abstützen kann, und in welchem Masse er allenfalls ergebnisorientierte Prüfungshandlungen zusätzlich durchführt. Vorgehensmodell IT-Risikoanalyse Das vorliegende «Vorgehensmodell IT-Risikoanalyse» beschäftigt sich primär mit den unteren beiden Schichten, also der IT-Infrastruktur mit den sie unterstützenden IT-Prozessen, aber auch mit den generellen IT-Prozessen für Wartung und Entwicklung der IT-Geschäftsanwendungen in der zweiten Schicht. Das Vorgehensmodell analysiert zusätzlich einige Fragestellungen in den oberen beiden Schichten, um eine gesamtheitliche Beurteilung der Risikolage vornehmen zu können. Mit dem «Vorgehensmodell IT-Risikoanalyse» wird ein standardisiertes Vorgehen geschaffen für: die Erkennung der Risiken, die sich aus dem IT-Einsatz eines Unternehmens ergeben; für die Erhebung und Beurteilung der «generellen IT-Kontrollen» und des IT-Einsatzes insgesamt in kleineren und mittleren Unternehmen und Organisationen. Das «Vorgehensmodell IT-Risikoanalyse» liefert damit dem Wirtschaftsprüfer als unverbindliche Arbeitshilfe die für die strategische Prüfungsplanung notwendigen Informationen über den Einsatz der Informatik (IT). 3

6 2 Einführung Bedeutung der Informatik für das IKS Gemäss Art. 728a OR hat die Revisionsstelle von wirtschaftlich bedeutenden Unternehmen, die der ordentlichen Revision unterliegen, ab dem Geschäftsjahr 2008 die Existenz eines Internen Kontroll-Systems (IKS) zu prüfen und zu bestätigen. Beobachtungen zeigen, dass in vielen mittleren und kleineren Unternehmen noch Unsicherheit und Fragen über Umfang und Inhalt sowie insbesondere den konkreten Nutzen des IKS bestehen. Dies gilt für das IKS auf Unternehmens- und Prozessebene sowie, in noch stärkerem Mass, auch für die Kontrollen im Informatikbereich. Der Schweizer Prüfungsstandard «Prüfung der Existenz des Internen Kontrollsystems» (PS 890) definiert die Bedeutung der Informatik für das Interne Kontroll-System wie folgt: «Kontrollen im Informatikbereich sind umso wichtiger, je stärker der Rechnungslegungs- und Berichterstattungs- Prozess von Informatik-Systemen abhängig ist und je höher das Risiko ist, dass Fehler ihre Ursache im Aufbau von und Umgang mit Informatik-Systemen haben könnten.» Informatikeinsatz in KMU Die Anforderungen an die Informatik weichen in KMU nicht wesentlich von denjenigen in grösseren Unternehmungen ab: Anwendungen mit breitem Funktionsumfang sowie hohe Verfügbarkeit und Sicherheit sind oftmals wesentliche Voraussetzungen für die effiziente und zuverlässige Abwicklung der Geschäftsprozesse. Gegenüber grösseren Unternehmen mit bezüglich Knowhow und Kapazität gut dotierten Informatikabteilungen ist die Situation in KMU, obwohl deren Informatik-Systeme und -Infrastruktur im Normalfall «überschaubar» sind und im Bereich der Kern-Anwendungen Standard-Software eingesetzt wird, oft von folgenden «typischen» Risiken geprägt: fehlendes Knowhow zu Informatik-Anwendungen sowie Daten- und Werteflüssen (Schnittstellen); daraus resultieren eine fehleranfällige, ineffiziente Nutzung der Software, Schwachstellen in der internen Kontrolle und eine hohe Abhängigkeit von externen Partnern (Lieferanten); starke Konzentration des Knowhow auf Einzelne, sehr oft einher gehend mit wenig strukturierten und kaum dokumentierten Prozessen im Informatikbereich; daraus ergibt sich eine hohe Abhängigkeit von solchen Schlüsselpersonen; fehlende Funktionen-Trennung zwischen Rechnungswesen und Informatik weil v.a. in kleineren Unternehmen die Verantwortung und z.t. auch die Ausführung in Rechnungswesen und Informatik bei derselben Person liegen; angemessener Zugriffsschutz auf Ebene von Netzwerk und Betriebssystem, aber innerhalb der einzelnen Anwendungen kaum differenzierte Zugriffsberechtigungen sowie «schwache» Passwörter und Verzicht auf periodische Passwort-Wechsel; Individual-Lösungen und -Auswertungen in Excel oder Access, die von einzelnen Anwendern auf ihrem PC erstellt und kaum dokumentiert werden; deren Weiterentwicklung, Test und Funktionsfähigkeit sowie oft auch deren Nutzung (v.a. im Bereich Kennzahlen und MIS) sind vollumfänglich von dieser einen Person abhängig; Schwachstellen im Bereich der physischen Sicherheit (Zutritt, Rauch- und Branderkennung, Klimatisierung und Stromversorgung) von Rechenzentrum resp. Serverraum; regelmässige Erstellung von Datensicherungen, aber oftmals Schwachstellen in deren Aufbewahrung (kein Datenträger- Safe) sowie ungenügende Auslagerung und fehlende Restore-Tests (als Grundlage für Wiederherstellung nach einem gravierenden Ereignis); fehlende Vorsorge und Vorbereitung für die Bewältigung von gravierenden Ereignissen (bspw. Zerstörung des Rechenzentrums resp. des Serverraumes), obwohl die Geschäftsprozesse in hohem Mass von der Verfügbarkeit der Informatikmittel abhängig sind. 4

7 «Vorgehensmodell IT-Risikoanalyse» Das IKS im Informatikbereich Ein umfassendes IKS im Informatikbereich beinhaltet Kontrollziele und Kontrollen auf verschiedenen Ebenen: Unternehmen: Informatik-Strategie, -Organisation und -Personal, Risiko- und Sicherheits-Management sowie Steuerung und Management von Informatikprojekten; Geschäftsprozesse: Aufbau- und Ablauforganisation sowie Kontrollen primär in denjenigen Geschäftsprozessen, die einen Einfluss auf den Daten- und Wertefluss sowie auf die Rechnungslegung und Berichterstattung haben; Informatik-Anwendungen: Kontrollen bei der Erfassung, Eingabe, Verarbeitung und Ausgabe von Transaktionen und Daten sowie Kontrollen an den Schnittstellen zwischen Informatik-Anwendungen; Informatik-Betrieb: Kontrollen bei Programm-Entwicklung und -Änderungen, bei Betrieb und Konfiguration der Informatikmittel, der Systemund Datensicherheit sowie der Überwachung der Informatik. 5

8 3 Vorgehensmodell IT-Risikoanalyse Grundsätzliche Überlegungen Das «Vorgehensmodell IT-Risikoanalyse» unterstützt den Wirtschaftsprüfer in mittleren und kleineren Unter nehmen und Organisationen bei der Erkennung und Bewertung von möglichen Risiken, die vom Informatikeinsatz ausgehen. Der Wirtschaftsprüfer kann daraus Erkenntnisse gewinnen für seine eigene Prüfungsplanung und -tätigkeit sowie auch für seinen Entscheid über den Einbezug eines spezialisierten Informatikprüfers. Das Vorgehensmodell deckt die im Schweizer Prüfungsstandard PS 890 «Prüfung der Existenz des internen Kontroll systems» angesprochenen «generellen Informatik- (IT-) Kontrollen» ab. Es fokussiert auf diejenigen Bereiche, welche für die Buchführung und Rechnungslegung direkt und indirekt relevant sind, und es geht in einigen Bereichen darüber hinaus. Das Vorgehensmodell ist unabhängig von der Art der Revision (ordentlich oder eingeschränkt); es orientiert sich an der Bedeutung der Informatik für das Unternehmen sowie dessen Buchführung und Rechnungslegung. Rechtliche und regulatorische Anforderungen hinsichtlich des IT-Einsatzes und dessen Kontrolle werden im «Vorgehensmodell IT-Risikoanalyse» nicht berücksichtigt sie können aber sehr wohl ein wesentlicher Grund sein, den IT-Einsatz von einem spezialisierten IT-Prüfer beurteilen zu lassen. Inhalts-Übersicht Phase 1: Grobe Risikoeinschätzung siehe Kapitel 4 Bei der Phase 1 handelt es sich um eine Einschätzung der Risiken und Abhängigkeiten im Zusammenhang mit dem Informatikeinsatz. Sie erhebt keinen Anspruch auf Vollständigkeit und Präzision in allen Details, sondern soll den Bedarf nach einer weiteren und dann auch detaillierteren Erhebung und Beurteilung des Informatikeinsatzes aufzeigen. Nach Abschluss der Phase 1 kann der Wirtschaftsprüfer aufgrund dieser Ersteinschätzung der Risiken entscheiden, ob das Durchführen der Phase 2 notwendig ist. Phase 2: Erhebung Informatikeinsatz siehe Kapitel 5 Bei der Phase 2 handelt es sich um eine breit angelegte und angemessen detaillierte Erhebung der Stark- und Schwachstellen im Zusammenhang mit dem Informatikeinsatz. Die Bearbeitung der Fragen resp. des Fragebogens von Phase 2 kann im Rahmen der strategischen Prüfungsplanung oder auch im Rahmen der (Zwischen-) Revision erfolgen. Nach Abschluss der Phase 2 kann aufgrund der erhaltenen Erkenntnisse entschieden werden, ob und in welchen Prüffeldern eine umfassenden Informatikrevision durchzuführen ist. Fragebogen als Erhebungs- und Beurteilungsgrundlage Für beide Phasen wurde je ein Fragebogen entwickelt. Deren Umfang und Inhalt sind den Zielen der jeweiligen Phase angepasst und ermöglichen eine zielgerichtete und effiziente Bearbeitung. Die «Antworten» zu den einzelnen Fragen basieren auf einem 4-stufigen Maturitätsmodell; sie erlauben (und verlangen) dadurch eine eindeutige Bewertung eines Sachverhaltes sowie auch einen Vergleich mit anderen Unternehmen. 6

9 «Vorgehensmodell IT-Risikoanalyse» IT-Check als «Kombination» der Phasen 1 und 2 siehe Kapitel 6 Die Inhalte der beiden Phasen 1 und 2 können, insbesondere wenn die Erhebungen beider Phasen gleichzeitig von demselben Prüfer durchgeführt werden, zu einem IT-Check zusammengefasst werden. Was das «Vorgehensmodell IT-Risikoanalyse» nicht ist Das «Vorgehensmodell IT-Risikoanalyse» ist keine allumfassende Risikoanalyse es ist vielmehr ein Arbeits instrument primär für die strategische Prüfungsplanung des Wirtschaftsprüfers, das effizient eingesetzt werden kann sowie eine vernünftige Erkennung und Beurteilung der im Zusammen hang mit dem Informatikeinsatz stehenden Risiken erlaubt. Das «Vorgehensmodell IT-Risikoanalyse» ist kein Leitfaden für eine umfassende Informatikrevision; diese erachten die autoren als Domäne von spezialisierten IT-Prüfern. Zudem sind allgemein anerkannte Prüfungsansätze wie bspw. das IT Audit Framework von ISACA oder dem auf Co b it basierenden IT Governance Assurance Guide verfügbar resp. werden von grossen Prüfungsgesellschaften unternehmensspezifische Vorgehensmodelle und Arbeitspapiere eingesetzt. 7

10 4 Phase 1: Grobe Risikoeinschätzung Positionierung Die Bearbeitung der Fragen resp. des Fragebogens von Phase 1 soll im Rahmen der strategischen Prüfungsplanung erfolgen. Damit ist Gewähr geboten, dass die sich aus dem IT-Einsatz ergebenden Risiken frühzeitig erkannt werden und die Erkenntnisse in die Prüfungsplanung einfliessen können. Bei der Phase 1 handelt es sich um eine Einschätzung der Risiken und Abhängigkeiten im Zusammenhang mit dem Informatikeinsatz. Sie erhebt keinen Anspruch auf Vollständigkeit und Präzision in allen Details, sondern soll den Bedarf nach einer weiteren und dann auch detaillierteren Erhebung und Beurteilung des Informatikeinsatzes aufzeigen. Vorgehen und Beteiligte Durch die Erhebung der Phase 1 soll erkannt werden, welche Bedeutung der Informatik im Unternehmen zukommt. Aus den Antworten zu den 16 Fragen lässt sich ableiten, ob aus dem Informatikeinsatz erhöhte Risiken für das Unternehmen resultieren, welche für die strategische Prüfungsplanung des Wirtschaftsprüfers wichtig sind. Der Fragebogen der Phase 1 wird dem Kunden vorgängig zugestellt und von den für das Rechnungswesen und die Informatik verantwortlichen Personen ausgefüllt. Für den nachfolgenden Review des Fragebogens gemeinsam mit Vertretern des Unternehmens rechnen wir für den Wirtschaftsprüfer mit einem Aufwand von rund einer Stunde. Mit vernünftigem Aufwand kann so aufgrund von nachvollziehbaren Fakten beurteilt werden, ob eine vertiefte Risikoerhebung im IT-Bereich, d.h. das Auslösen der Phase 2, angezeigt ist. Fragebogen / Kriterien Der Fragebogen beinhaltet fünf Themenkreise; jeder Themenkreis beinhaltet eine bis fünf Fragen. Geschäft und IT Geschäftsstrategie und Informatikeinsatz Innovationsgrad beim Informatikeinsatz Abhängigkeit von Verfügbarkeit der Informatikmittel Interne Organisation und Kontrolle Risikomanagement Internes Kontroll-System Awareness für Informationssicherheit Funktionentrennung Stellvertretung und Anwendungs- Knowhow im Rechnungswesen IT-Anwendungen Software für das Rechnungswesen Änderungen in Kern-Anwendungen Integration Wertefluss im Rechnungswesen Programmfehler in Kern-Anwendungen Letzte IT-Prüfung Zeitpunkt der letzten unabhängigen Beurteilung Informatik IT-Betrieb Betriebssicherheit der Informatikmittel Stellvertretung in der Informatikabteilung Abhängigkeit von externem Personal (inkl. Outsourcing) Für jede Frage resp. jedes Kriterium werden «Antworten» in vier unterschiedlichen Ausprägungen (Maturitätsstufen) vorgeschlagen. 8

11 «Vorgehensmodell IT-Risikoanalyse» Geschäft und IT In diesem Themenkreis wird die Bedeutung der Informatik für das Unternehmen ermittelt. Es soll erkannt werden, wie weit die Geschäftsstrategie auf die Nutzung von Informatikmitteln setzt und in welchem Masse die Primärprozesse des Unternehmens von der Verfügbarkeit der Informatikmittel abhängig sind. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Geschäftsstrategie und Informatikeinsatz Innovationsgrad beim Informatikeinsatz Abhängigkeit von Verfügbarkeit der Informatikmittel Die Geschäftsstrategie basiert wesentlich auf der Nutzung des Internets bzw. von neuen Technologien sowie aktivem Informationsaustausch über Datennetze. Das Unternehmen nutzt eine moderne und komplexe IT-Infrastruktur und adaptiert aufkommende Technologien deutlich vor der Branche. Die IT-Verfügbarkeit ist für das Geschäft (Front geschäft resp. Primärprozesse) ein kritischer Faktor; die akzeptable Ausfallzeit liegt unter 4 Stunden. Die Geschäftsstrategie basiert teilweise auf der Nutzung des Internets bzw. von neuen Techno logien; wichtige Geschäftsprozesse basieren auf Informationsaustausch über Datennetze. Das Unternehmen nutzt eine komplexe IT-Infrastruktur und adaptiert neue Technologien ohne Verzögerung. Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft resp. Primärprozesse) wichtig; die akzeptable Ausfallzeit liegt zwischen 4 Stunden und 2 Tagen. Die Geschäftsstrategie ist kaum von neuen Technologien abhängig; wichtige Geschäftsprozesse nutzen diese Technologien aber bereits. Die Geschäftsstrategie ist nicht von neuen Technologien (z.b. Internet oder e-commerce) abhängig. Das Unternehmen nutzt Das Unternehmen nutzt eine umfangreiche, vorwiegend aus Standard- IT-Infrastruktur, die vor- eine unkomplizierte komponenten bestehende wiegend aus Standardkomponenten besteht; die IT-Infrastruktur und adaptiert neue Technologien IT-Infrastruktur bleibt eher mit Verzögerung. hinter techno logi schen Entwicklungen zurück. Die IT-Verfügbarkeit Die IT-Verfügbarkeit ist für ist für das Geschäft den operativen Betrieb (Frontgeschäft resp. (Frontgeschäft) und die Primärprozesse) bedingt internen Primärprozesse wichtig; die akzeptable unkritisch; ein Ausfall von Ausfallzeit liegt zwischen mehr als einer Woche 2 Tagen und einer Woche. scheint akzeptabel. 9

12 Interne Organisation und Kontrolle In diesem Themenkreis werden das Risikomanagement und das Interne Kontrollsystem, die Sensibilisierung bezüglich Informationssicherheit, die Funktionentrennung zwischen Informatik und Fachabteilungen sowie das Knowhow und die Stellvertretung im Rechnungswesen bewertet. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Risikomanagement Es besteht kein erkennbares Risikomanagement; zur Risikominderung werden ad hoc-massnahmen eingesetzt. Internes Kontrollaystem Awareness für Informationssicherheit Funktionentrennung Stellvertretung und Anwendungs- Knowhow im Rechnungswesen Ein Internes Kontrollsystem (IKS) ist kaum erkennbar oder ist nicht vorhanden. Die Mitarbeiter sind über ihre Verantwortung zur Einhaltung interner und externer Anforderungen zur Informationssicherheit nicht informiert. Es besteht nur eine rudimentäre, informelle Funktionentrennung; es bestehen (auch im Hinblick auf die IT) abteilungs übergreifende Funktionen. Im Unternehmen besteht nur eine rudimentäre Stellvertretung; der Ausfall von Einzelpersonen führt bereits im normalen Tagesgeschäft zu Problemen. Es besteht ein punktuelles, anwendungsspezifisches Risikomanagement, das teilweise dokumentiert ist; daraus hervorgehende Massnahmen zur Risikominderung sind nicht (einfach) erkennbar. Es besteht ein punktuelles, fachbereichsspezifisches IKS; der Dokumentationsund Aktualitätsgrad ist aber unklar. Die Mitarbeiter sind über ihre Verantwortung zur Einhaltung interner und externer Anforderungen zur Informationssicherheit informiert. Es besteht eine Funktionentrennung zwischen IT und Fachbereich; Funktionen innerhalb der Fachabteilungen werden unter Umständen nicht getrennt. Für wichtige Positionen sind Stellvertretungen definiert aber kaum geschult; ein Ausfall von Personen wirkt sich nach einigen Tagen auf das normale Tagesgeschäft aus; die Bewältigung von Problemen und Zwischenfällen ist bei einem Ausfall nicht möglich. Es besteht ein formalisiertes, firmenumfassendes Risikomanagement; es ist dokumentiert und wird periodisch aktualisiert und die daraus hervorgehenden Massnahmen zur Risikominderung sind klar erkennbar. Es besteht ein formalisiertes, firmenumfassendes IKS; es ist dokumentiert und wird periodisch aktualisiert. Die Mitarbeiter werden wiederholt auf ihre Verantwortung zur Einhaltung interner und externer Anforderungen zur Informationssicherheit hingewiesen und angemessen geschult. Es wird innerhalb der Fachbereiche auf eine funktionale Funktionentrennung geachtet; diese ist in den Aufgabenbeschreibungen dokumentiert, wird jedoch nicht kontrolliert. Es besteht ein formalisiertes, firmenumfassendes Risikomanagement; es ist dokumentiert und wird jährlich aktualisiert und die Risiken werden nachvollziehbar gemindert. Das Risikomanagement wird durch ein Control Self Assessment ergänzt. Es besteht ein formalisiertes, firmenumfassendes IKS; es ist dokumentiert und wird jährlich aktualisiert. Das IKS wird durch ein Control Self Assessment ergänzt. Die Mitarbeiter werden systematisch geschult und die Einhaltung interner und externer Anforderungen zur Informationssicherheit wird regelmässig geprüft. Es wird innerhalb der Fachbereiche konsequent auf eine funktionale Funktionentrennung geachtet; diese ist in den Aufgabenbeschreibungen dokumentiert und wird ständig kontrolliert. Für alle wesentlichen Für alle wesentlichen Positionen sind Stellvertretungen vorhanden vertretungen vorhanden Positionen sind Stell- und geschult; das normale und geschult, es Tagesgeschäft ist sichergestellt, die Bewältigung Dokumen tationen; das bestehen entsprechende von Problemen und normale Tagesgeschäft Zwischenfällen jedoch und sowie eine effektive schwierig und führt zu Problembewältigung sind Verzögerungen. sichergestellt. 10

13 «Vorgehensmodell IT-Risikoanalyse» IT-Anwendungen In diesem Themenkreis werden die Software für das Rechnungswesen und die Kern-Anwendungen sowie deren Integrationsgrad und Qualität bewertet. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Software für das Rechnungswesen Änderungen in Kern-Anwendungen Die Rechnungswesen- Anwendung ist eine Eigenentwicklung. Die Kern-Anwendungen wurden im letzten oder aktuellen Geschäftsjahr ersetzt und die «alten» Datenbestände migriert. Für das Rechnungswesen wird parametrisierbare Standardsoftware mit Möglichkeiten zur Individualprogrammierung eingesetzt. Wesentliche Teile der Kern-Anwendungen wurden im letzten oder aktuellen Geschäftsjahr ersetzt und Datenbestände migriert. Für das Rechnungswesen wird Standardsoftware eingesetzt, welche nur über eingeschränkte Möglichkeiten für Parametrisierung und Individualprogrammierung verfügt. Wesentliche Teile der Kern-Anwendungen wurden im letzten oder aktuellen Geschäftsjahr geändert (bspw. Release- Wechsel) oder erweitert. Für das Rechnungswesen wird Standardsoftware ohne jegliche Parametrisierung und ohne Möglichkeiten für Individualprogrammierung eingesetzt. Die Kern-Anwendungen wurden im letzten und aktuellen Geschäftsjahr nur geringfügig geändert oder erweitert Integration Wertefluss im Rechnungswesen Programmfehler in Kern-Anwendungen Für Kern-Anwendungen sind integrierte Lösungen mit hohem Automatisierungsgrad implementiert; der Nachvollzug von Werteund Datenflüssen bedingt Spezialistenwissen. Bei den Kern-Anwendungen treten häufig Probleme auf, die mit grossem Zeitaufwand gelöst werden müssen. Fehler und Ausfallgründe wiederholen sich häufig. Für Kern-Anwendungen sind integrierte Lösungen mit automatisierten Schnittstellen im Einsatz; Werte- und Datenflüsse sind nachvollziehbar. Fehler in Kern-Anwendungen sind selten, müssen aber mit grossem Zeitaufwand gelöst werden. Störungs- und Ausfallgründe wiederholen sich kaum. Für Kern-Anwendungen sind verschiedene Insellösungen mit (Batch-) Schnittstellen im Einsatz; Werte- und Datenflüsse sind gut nachvollziehbar. Fehler in Kern- Anwendun gen sind selten und können zeitnah gelöst werden. Fehler und Mängel sind dokumentiert. Es sind mehrere funktionsspezifische Insellösungen mit einzelnen (Batch-) Schnittstellen im Einsatz; Werte- und Datenflüsse in Anwendungen und an Schnittstellen sind anhand von Auswertungen und Schnittstellenprotokollen nachvollziehbar dokumentiert. Fehler in Kern- Anwendun gen sind sehr selten; Fehler und Mängel werden systematisch, zeitnah und nachhaltig gelöst sowie nachvollziehbar dokumentiert. 11

14 IT-Betrieb In diesem Themenkreis werden die Betriebssicherheit der Informatikmittel sowie die personelle Situation (Stellvertretung / Abhängigkeit von Externen) im Informatikbereich bewertet. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Betriebssicherheit der Informatikmittel Stellvertretung in der Informatikabteilung Abhängigkeit von externem Personal (inkl. Outsourcing- Partnern) Die IT-Mittel (Server, Clients, Netzwerk und Peripherie) sind häufigen Störungen und Ausfällen ausgesetzt; diese wirken sich auf den gesamten Geschäftsbetrieb aus. Es besteht innerhalb der IT nur eine rudimentäre Stellvertretungsregelung; der Ausfall von Einzelpersonen führt bereits im normalen IT-Betrieb zu Problemen. Das Unternehmen ist beim Betrieb der IT weitgehend von externer Unterstützung abhängig; insbesondere bei Proble men ist eine externe Unterstützung unabdingbar. Die IT-Mittel sind wiederholt Störungen und Ausfällen ausgesetzt; diese wirken sich auf den gesamten Geschäftsbetrieb aus. Für die wichtigsten Positionen innerhalb der IT sind Stellvertretungen definiert aber kaum geschult; der Ausfall von Einzelpersonen wirkt sich nach einigen Tagen auf den IT-Betrieb aus und die Bewältigung von IT-Problemen ist nicht möglich. Der Normalbetrieb der IT ist ohne externe Unterstützung weitgehend möglich; Fehler oder Probleme sind ohne externe Unterstützung kaum lösbar. Die IT-Mittel sind kaum Störungen und Ausfällen ausgesetzt; diese wirken sich nur bedingt auf den Geschäftsbetrieb aus. Für alle wesentlichen Positionen innerhalb der IT sind Stellvertretungen vorhanden und geschult, aber nicht dokumentiert; der IT-Betrieb ist sichergestellt, die Bewältigung von IT-Problemen ohne diese Personen jedoch schwierig. Der Normalbetrieb der IT ist auch ohne externe Unterstützung sichergestellt; bei Fehlern oder Problemen muss teilweise auf externe Unterstützung zurückgegriffen werden. Die IT-Mittel sind nur selten Störungen und Ausfällen ausgesetzt; diese wirken sich nur auf Teile des Geschäftsbetriebs aus. Für alle wesentlichen Positionen innerhalb der IT sind Stellvertretungen vorhanden und geschult, es bestehen ent sprechende Dokumen tationen; der IT-Betrieb und eine effektive Bewältigung von IT-Problemen sind sichergestellt. Der Normalbetrieb und die Problemhandhabung sind jederzeit ohne externe Unterstützung gewährleistet; eine externe Unterstützung ist nur in Krisensituationen erforderlich. Letzte IT-Prüfung (Zeitrisiko) Dieses Kriterium zeigt, zu welchem Zeitpunkt der Informatikeinsatz im Unternehmen letztmals von einem unabhängigen Experten beurteilt wurde. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Letzte IT-Prüfung Es wurde noch nie eine IT- Prüfung durchgeführt. Eine IT-Prüfung wurde letztmals vor mehr als 5 Jahren durchgeführt. Eine IT-Prüfung wurde letztmals vor einigen Jahren durchgeführt. Eine IT-Prüfung wurde im vergangenen Geschäftsjahr durchgeführt. Ausfüllen des Fragebogens Für jedes der 16 Kriterien wird aus den vier «Antworten» diejenige bestimmt, die den aktuellen Gegebenheiten im Unternehmen am besten entspricht. Bewertungen «zwischen» den Maturitätsstufen (1 2, 2 3 und 3 4) sollten nicht vorgenommen werden, da sie kaum einen Nutzen bieten. Im Zweifelsfall sollte die niedrigere Stufe gewählt werden, da dies das Prüfungsrisiko reduziert. 12

15 «Vorgehensmodell IT-Risikoanalyse» Interpretation der Erkenntnisse / Bewertung Die Interpretation des Fragebogens erfolgt anhand der Maturitätsstufen. Eine Maturitätsstufe entspricht bei der Bewertung der Phase I nicht unbedingt einem technischen oder organisatorischen Reifegrad sondern einem potentiellen Risikofaktor. Bspw. setzt sich ein Unternehmen mit einem Innovationsgrad (Frage 2) der Stufe 1 (d.h. mit sehr früher Adaption neuer IT-Technologien) sicher einem höheren Risiko aus als eines mit Stufe 4 (d.h. mit konservativer Adaption, standardisierter und wenig moderner IT). Die Autoren des «Vorgehensmodells IT-Risikoanalyse» gehen aufgrund ihrer Kenntnisse und Erfahrungen davon aus, dass Einstufungen im Bereich der Maturitätsstufen 4 und 3 auf geringe Risiken hinweisen; demgegenüber weisen Einstufungen im Bereich der Maturitätsstufen 2 und 1 auf erhebliche bis hohe Risiken hin. Berichterstattung Für die Berichterstattung über die Phase 1 besteht eine effiziente und gut visualisierbare Lösung darin, die Bewertung (Stufe) direkt im Fragebogen durch Einfärben der zutreffenden «Antwort» in entsprechenden Farben (z.b. 1 = rot, 2 = gelb, 3 = hellgrün und 4 = dunkelgrün) zu dokumentieren. Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Geschäftsstrategie und Die Geschäftsstrategie basiert wesentlich auf der Die Geschäftsstrategie basiert teilweise auf der Nutzung Die Geschäftsstrategie ist kaum von neuen Technologien Die Geschäftsstrategie ist nicht von neuen Technologien (z.b. Informatikeinsatz Nutzung des Internets bzw. von neuen Technologien des Internets bzw. von neuen Techno logien; wichtige abhängig; wichtige Geschäfts prozesse nutzen diese Internet oder e-commerce) abhängig. sowie aktivem Infor mations austausch über Geschäfts prozesse basieren auf Informationsaustausch Techno logien aber bereits. Daten netze. über Datennetze. Innovationsgrad beim Das Unternehmen nutzt eine moderne und komplexe Das Unternehmen nutzt eine komplexe IT-Infrastruktur und Das Unternehmen nutzt eine umfangreiche, vorwiegend Das Unternehmen nutzt eine unkomplizierte IT-Infrastruktur, die Informatikeinsatz IT-Infrastruktur und adaptiert aufkommende adaptiert neue Technologien ohne Verzögerung. aus Standardkompo nenten bestehende IT-Infrastruktur vorwiegend aus Standard komponenten besteht; die IT-Infrastruktur Technologien deutlich vor der Branche. und adaptiert neue Technologien mit Verzögerung. bleibt hinter technologischen Entwicklungen zurück. Abhängigkeit von Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft Die IT-Verfügbarkeit ist für den operativen Betrieb (Frontgeschäft) Verfügbarkeit der resp. Primärprozesse) ein kritischer Faktor; resp. Primärprozesse) wichtig; die akzeptable Ausfallzeit resp. Primärprozesse) bedingt wichtig; die akzeptable und die internen Primärprozesse unkritisch; ein Ausfall von mehr Informatikmittel die akzeptable Ausfall zeit liegt unter 4 Stunden. liegt zwischen 4 Stunden und 2 Tagen. Ausfallzeit liegt zwischen 2 Tagen und einer Woche. als einer Wochen scheint akzeptabel. Risikomanagement Es besteht kein erkennbares Risikomana gement; Es besteht ein punktuelles, anwendungs spezifisches Es besteht ein formalisiertes, firmenum fassendes Es besteht ein formalisiertes, firmenumfassen des Risikomanage zur Risikominderung werden ad hoc-massnahmen Risikomanagement, das teilweise dokumentiert ist; daraus Risikomanagement; es ist doku mentiert und wird ment; es ist dokumentiert und wird jährlich aktualisiert und eingesetzt. hervor gehende Massnahmen zur Risiko minderung sind periodisch aktualisiert und die daraus hervorgehenden die Risiken werden nachvollziehbar gemindert. Das Risikomanagement nicht (einfach) erkennbar. Mass nahmen zur Risikominderung sind klar erkennbar. wird durch ein Control Self Assessment ergänzt. Internes Kontrollsystem Ein internes Kontrollsystem (IKS) ist kaum erkennbar Es besteht ein punktuelles, fachbereichs-spezifisches IKS; Es besteht ein formalisiertes, firmenum fassendes IKS; es Es besteht ein formalisiertes, firmenumfassendes IKS; es ist oder ist nicht vorhanden. der Dokumentations- und Aktualitätsgrad ist aber unklar. ist dokumentiert und wird periodisch aktualisiert. dokumentiert und wird jährlich aktualisiert. Das IKS wird durch ein Control Self Assessment ergänzt. Awareness für Die Mitarbeiter sind über ihre Verantwortung zur Die Mitarbeiter sind über ihre Verantwortung zur Die Mitarbeiter werden wiederholt auf ihre Verantwor Die Mitarbeiter werden systematisch geschult und die Einhaltung Informationssicherheit Einhaltung interner und externer Anforderungen zur Einhaltung interner und externer Anforderungen zur tung zur Einhaltung interner und externer interner und externer Anforderungen zur Informationssicherheit Informationssicherheit nicht informiert. Informationssicherheit informiert. Anforderungen zur Informations sicherheit hingewiesen wird regelmässig geprüft. und angemessen geschult. Funktionentrennung Stellvertretung und Anwendungs-Knowhow im Rechnungswesen Software für das Rechnungswesen Änderungen in Kern-Anwendungen Integration Wertefluss im Rechnungswesen Programmfehler in Kern-Anwendungen Es besteht nur eine rudimentäre, infor melle Es besteht eine Funktionentrennung zwischen IT und Es wird innerhalb der Fachbereiche auf eine funktionale Es wird innerhalb der Fachbereiche konsequent auf eine Funktionentrennung; es bestehen (auch im Hinblick Fachbereich; Funktionen innerhalb der Fachabteilungen Funktionentrennung geachtet; diese ist in den funktionale Funktionentrennung geachtet; diese ist in den auf die IT) abteilungs übergreifende Funktionen. werden unter Umständen nicht getrennt. Aufgabenbe schreibungen dokumentiert, wird jedoch Aufgabenbeschreibungen dokumentiert und wird ständig nicht kontrolliert. kontrolliert. Im Unternehmen besteht nur eine rudimentäre Für wichtige Positionen sind Stellvertre tungen definiert Für alle wesentlichen Positionen sind Stellvertretungen Für alle wesentlichen Positionen sind Stellvertretungen vorhanden und geschult, es bestehen entsprechende Dokumen- Stellvertretung; der Ausfall von Einzelpersonen führt aber kaum geschult; ein Ausfall von Personen wirkt sich vorhanden und geschult; das normale Tagesgeschäft bereits im normalen Tagesgeschäft zu Problemen. nach einigen Tagen auf das normale Tagesgeschäft aus; ist sichergestellt, die Bewältigung von Problemen tationen; das normale Tagesgeschäft und sowie eine effektive die Bewältigung von Problemen und Zwischenfällen ist bei und Zwischenfällen jedoch schwierig und führt zu Problembewältigung sind sichergestellt. einem Ausfall nicht möglich. Verzögerungen. Die Rechnungswesen-Anwendung ist eine Für das Rechnungswesen wird parametrisierbare Für das Rechnungswesen wird Standardsoftware eingesetzt, welche nur über eingeschränkte Möglichkeiten für Parametrisierung und ohne Möglichkeiten für Individualpro- Für das Rechnungswesen wird Standard software ohne jegliche Eigenentwicklung. Standardsoftware mit Möglich keiten zur Individualprogrammierung eingesetzt. Parametrisierung und Individualprogrammie rung verfügt. grammierung eingesetzt. Die Kern-Anwendungen wurden im letzten oder Wesentliche Teile der Kern-Anwendungen wurden im Wesentliche Teile der Kern-Anwendungen wurden im Die Kern-Anwendungen wurden im letzten und aktuellen aktuellen Geschäftsjahr ersetzt und die «alten» letzten oder aktuellen Geschäftsjahr ersetzt und die letzten oder aktuellen Geschäftsjahr geändert (bspw. Geschäftsjahr nur geringfügig geändert oder erweitert Datenbestände migriert. Datenbestände migriert. Release-Wechsel) oder erweitert. Für Kern-Anwendungen sind integrierte Lösungen Für Kern-Anwendungen sind integrierte Lösungen mit Für Kern-Anwendungen sind verschiedene Insellösungen Es sind mehrere funktionsspezifische Insellösungen mit einzelnen mit hohem Automatisierungs grad implementiert; der automatisierten Schnitt stellen im Einsatz; Werte- und mit (Batch-) Schnittstellen im Einsatz; Werte- und (Batch-) Schnittstellen im Einsatz; Werte- und Datenflüsse Nachvollzug von Werte- und Datenflüssen bedingt Datenflüsse sind nachvollziehbar. Datenflüsse sind gut nachvollziehbar. in An wendungen und an Schnittstellen sind anhand von Spezia listenwissen. Aus wer tungen und Schnittstellenprotokollen nachvollziehbar dokumentiert. Bei den Kern-Anwendungen treten häufig Probleme Fehler in Kern-Anwendungen sind selten, müssen aber Fehler in Kern-Anwendungen sind selten und können Fehler in Kern-Anwendungen sind sehr selten; Fehler und auf, die mit grossem Zeitauf wand gelöst werden mit grossem Zeitaufwand gelöst werden. Störungs- und zeitnah gelöst werden. Fehler und Mängel sind Mängel werden syste matisch, zeitnah und nachhaltig gelöst müssen. Fehler und Ausfallgründe wiederholen Ausfallgründe wiederholen sich kaum. dokumentiert. sowie nachvollziehbar dokumentiert. sich häufig. Betriebssicherheit der Informatikmittel Die IT-Mittel (Server, Clients, Netzwerk und Peripherie) sind häufigen Störungen und Ausfällen ausgesetzt; diese wirken sich auf den gesamten Geschäftsbetrieb aus. Die IT-Mittel sind wiederholt Störungen und Ausfällen ausgesetzt; diese wirken sich auf den gesamten Geschäftsbetrieb aus. Die IT-Mittel sind kaum Störungen und Ausfällen ausgesetzt; diese wirken sich nur bedingt auf den Geschäftsbetrieb aus. Die IT-Mittel sind nur selten Störungen und Aus fällen ausgesetzt; diese wirken sich nur auf Teile des Geschäftsbetriebs aus. Stellvertretung in der Informatikabteilung Abhängigkeit von externem Personal (inkl. Outsourcing- Partnern) Es besteht innerhalb der IT nur eine rudimentäre Stellvertretungsregelung; der Ausfall von Einzelpersonen Stell vertretungen definiert aber kaum geschult; der Ausfall Stellvertretungen vorhanden und geschult, aber nicht Für die wichtigsten Positionen innerhalb der IT sind Für alle wesentlichen Positionen innerhalb der IT sind führt bereits im normalen IT-Betrieb zu Problemen. von Einzel personen wirkt sich nach einigen Tagen auf dokumentiert; der IT-Betrieb ist sichergestellt, die den IT-Betrieb aus und die Bewältigung von IT-Problemen Bewältigung von IT-Problemen ohne diese Personen ist nicht möglich. jedoch schwierig. Das Unternehmen ist beim Betrieb der IT weitgehend Der Normalbetrieb der IT ist ohne externe Unterstützung Der Normalbetrieb der IT ist auch ohne externe von externer Unterstützung abhängig; insbesondere weitgehend möglich; Fehler oder Probleme sind ohne Unterstützung sichergestellt; bei Fehlern oder bei Problemen ist eine externe Unterstützung externe Unterstützung kaum lösbar. Problemen muss teilweise auf externe Unterstützung unabdingbar. zurückgegriffen werden. Für alle wesentlichen Positionen innerhalb der IT sind Stell vertretungen vorhanden und geschult, es bestehen entsprechende Dokumentationen; der IT-Betrieb und eine effektive Bewältigung von IT-Problemen sind sichergestellt. Der Normalbetrieb und die Problemhand habung sind jederzeit ohne externe Unterstützung gewährleistet; eine externe Unterstützung ist nur in Krisensituationen erforderlich. Zeitpunkt der letzten unabhängigen Beurteilung Informatik Es wurde noch nie eine IT-Prüfung durchgeführt. Eine IT-Prüfung wurde letztmals vor mehr als 5 Jahren durchgeführt. Eine IT-Prüfung wurde letztmals vor einigen Jahren durchgeführt. Eine IT-Prüfung wurde im vergangenen Geschäftsjahr durchgeführt. Die Erkenntnisse aus der Phase 1 können so auf einer einzigen Seite zusammenfassend dokumentiert werden. Da bei dieser Darstellungsart die Beschreibungen aller vier Maturitätsstufen ersichtlich sind, ist auch ein rascher Vergleich der eigenen Verhältnisse mit denjenigen der benachbarten (höheren / tieferen) Maturitätsstufen möglich. 13

16 Neben der umseitigen tabellarischen Darstellung der Ergebnisse eignet sich für die Erkennung der Abhängigkeit des Unternehmens von seiner IT auch sehr gut ein sogenanntes «Spinnendiagramm» nachfolgend je einmal für ein Einzelunternehmen (links) sowie für vier verschiedene Unternehmen (rechts): Stellvertretung IT Betriebssicherheit IT Zeitrisiko IT-Prüfung Abhängigkeit extern Strategie und IT Innovation IT Abhängigkeit IT IKS Risikomanagement Zeitrisiko Geschäft und IT IT-Betrieb Programmfehler Funktionentrennung REWE-Integrationsgrad Stellvertretung Kern-Anwendungen REWE-SW Awareness Interne Organisation und Kontrolle IT-Anwendungen Bank Treuhand Spital Industrie Abb: Darstellung aller 16 Kriterien abb: Zusammenfassende Darstellung der 5 Themenkreise Empfehlungen zum weiteren Vorgehen Wenn ein oder mehrere Kriterien im Bereich der Maturitätsstufen 2 und 1 liegen resp. in den Farben gelb und rot eingestuft werden, erachten die Autoren das Einleiten der Phase 2 und damit eine vertiefe Erhebung und Beurteilung des Informatikeinsatzes als angezeigt. Letztlich obliegt es dem Wirtschaftsprüfer resp. dessen «Professional Judgement», die in der Phase 1 gewonnenen Erkenntnisse zu Risiken und Abhängigkeiten im Zusammenhang mit dem Informatikeinsatz hinsichtlich deren Bedeutung für die Abschlussprüfung zu bewerten. Dazu kann es sinnvoll sein, die Erkenntnisse und die Notwendigkeit einer vertiefen Erhebung und Beurteilung des Informatikeinsatzes mit einem erfahrenen IT-Prüfer zu besprechen. 14

17 «Vorgehensmodell IT-Risikoanalyse» 5 Phase 2: Erhebung Informatikeinsatz Positionierung Bei der Phase 2 handelt es sich um eine breit angelegte und angemessen detaillierte Erhebung der Stark- und Schwachstellen im Zusammenhang mit dem Informatikeinsatz. Die Bearbeitung der Fragen resp. des Fragebogens von Phase 2 kann im Rahmen der strategischen Prüfungsplanung oder auch im Rahmen der (Zwischen-) Revision erfolgen. Die Erkenntnisse aus der Phase 2 können bezüglich den im PS 890 angesprochenen «Generellen Informatik- (IT-) Kontrollen» zur abschliessenden Beurteilung dienen sie können aber auch die Notwendigkeit einer umfassenden und/ oder tief gehenden Erhebung und Beurteilung des Informatikeinsatzes insgesamt oder von spezifischen Prüffeldern mit Fakten belegen. Vorgehen und Beteiligte Die Erhebungen zur Phase 2 sollten von einem mit Informatikprüfungen vertrauten Wirtschaftsprüfer oder von einem IT- Prüfer vorgenommen werden. Sie umfassen, neben einer Besichtigung der IT-Infrastruktur und dem Einblick in vorhandene Unterlagen, vertiefende Gespräche mit Vertretern aus dem Informatikbereich des Unternehmens. Für die Erhebungen «vor Ort» inkl. Bearbeiten des Fragebogens rechnen wir mit einem Aufwand von ca. 1 Tag; der aufwand ist stark abhängig vom Umfang des Informatikeinsatzes und der Anzahl einzubeziehender Gesprächspartner. Nach Abschluss der Phase 2 können verlässliche Aussagen zu vorhandenen Risiken im Informatikbereich und konkreten Schwachstellen gemacht werden. Darauf basierend kann beurteilt werden, ob und in welchen Prüffeldern eine umfassende Informatikrevision angezeigt ist. Fragebogen / Kriterien ( Details siehe Anhang 2) Der Fragebogen der Phase 2 umfasst 20 Themenbereiche mit durchschnittlich 4 Prüfpunkten; er deckt nach Einschätzung der Autoren die im Schweizer Prüfungsstandard PS 890 «Prüfung der Existenz des internen Kontrollsystems» angesprochenen «Generellen IT-Kontrollen» vollumfänglich ab resp. geht in einzelnen Bereichen zur Reduktion des Prüfungsrisikos bewusst darüber hinaus. Der Fragebogen beinhaltet insgesamt rund 90 Kriterien (Prüfpunkte) zu folgenden Themenbereichen: IT-relevante Dokumentation Zugriffsschutz Organisation der IT IT-Sicherheit IT-Governance Physische Sicherheit IT-Risikomanagement IT-Betrieb Compliance Problem-Management IT-Projektmanagement Datensicherung Software-Entwicklung und -Änderungen Outsourcing (falls relevant) Testen von IT-Anwendungen Rechnungswesen Anwender-Richtlinien Direkte Anwendungskontrollen Anwender-Ausbildung Unterstützende Anwendungskontrollen) 15

18 Bei einem grossen Teil der aufgeführten Themenbereiche handelt es sich um generelle IT-Kontrollen; zusätzlich werden weitere Bereiche erhoben, welche für den Wirtschaftsprüfer wichtig sind und eine genauere Erkennung von ggf. vorhandenen Schwachstellen und Risiken ermöglichen. Ausfüllen des Fragebogens Für jedes Kriterium wird aus den vier «Antworten» diejenige bestimmt, die den aktuellen Gegebenheiten im Unternehmen am besten entspricht. Die Bewertung (Stufe) wird in der Spalte «Stufe» des Fragebogens festgehalten oder direkt durch Ankreuzen der entsprechenden «Antwort» festgehalten. Für die Beurteilung und die Berichterstattung ist es sinnvoll, in der Spalte «Feststellung / Beurteilung / Empfehlung» ergänzende Hinweise zu machen; solche Hinweise werden idealerweise mit einem «F» für Feststellung, «B» für Beurteilung und «E» für Empfehlung gekennzeichnet. Bewertungen «zwischen» den Maturitätsstufen (1 2, 2 3 und 3 4) sollten nicht vorgenommen werden; die Autoren empfehlen, zur Reduktion des Prüfungsrisikos im Zweifelsfall die tiefere Stufe zu wählen (also z.b. statt 1 2 die 1). Wenn ein Kriterium nicht relevant ist für das Unternehmen (bspw. die Fragen zum Outsourcing), kann in der Spalte «Stufe» des Fragebogens der Wert «n.a.» (nicht anwendbar) eingetragen werden. Interpretation der Erkenntnisse / Bewertung Die Interpretation des Fragebogens erfolgt anhand der Maturitätsstufen; diese entsprechen aber im Gegensatz zur Phase 1 eher einem technischen oder organisatorischen Reifegrad und nicht unbedingt einem potentiellen Risikofaktor. Es besteht aber nachweislich ein Zusammenhang zwischen der Prozess-Maturität und dem jeweiligen Risiko. Die Autoren des Vorgehensmodells IT-Risikoanalyse gehen aufgrund ihrer Kenntnisse und Erfahrungen davon aus, dass Einstufungen im Bereich der Maturitätsstufen 4 und 3 auf einen guten Reifegrad und geringe Risiken hinweisen. Demgegenüber weisen Einstufungen im Bereich der Maturitätsstufen 2 und 1 auf einen ungenügenden Reifegrad resp. erhebliche bis hohe Risiken hin. 16

19 «Vorgehensmodell IT-Risikoanalyse» Berichterstattung Angesichts des Umfanges des Fragebogens sehen wir verschiedene Ansätze zur Berichterstattung über die Phase 2; im Folgenden beschreiben wir zwei von uns mehrfach erprobte Varianten. Fokus auf detaillierte Darstellung IST-Zustand Eine umfassende Berichterstattung ist durch Einfärben der pro Kriterium zutreffenden Antwort oder der Spalte «Stufe» in der passenden Farbe (1 = rot, 2 = gelb, 3 = hellgrün und 4 = dunkelgrün) möglich. Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4 Feststellungen Auswirkungen Empfehlungen IT-relevante Dokumentation Übersicht IT- Infrastruktur Hardware- Inventare Software- Inventare Verträge und Dienstleistungsvereinbarungen Es besteht keine Übersicht über die Informatik-Infrastruktur. Es besteht kein Hardware- Inventar. Es besteht kein Software- Inventar. Es bestehen kaum Verträge zwischen dem Informatikbereich und Dritten, obwohl Leistungen bezogen werden. Es besteht eine veraltete (älter als 1 jahr) Übersicht über die Informatik-Infrastruktur. Es besteht ein veraltetes (älter als 1 Jahr) Hardware- Inventar. Es besteht ein veraltetes (älter als 1 Jahr) Software- Inventar. Es bestehen eine Übersicht/ Zusammenstellung von im Informatikbereich relevanten Verträge mit Dritten (Lieferanten, Kunden, Partner); diese ist jedoch unvollständig und nicht aktuell. Eine aktuelle Übersicht der Eine aktuelle Übersicht wesentlichen Komponenten der gesamten Informatikder Informatik-Infrastruktur Infra struktur (Systeme (Systeme und Vernetzung) und Ver netzung) besteht. besteht. Beschaffungs-, Projekt- und Änderungsprozes- Änderungsprozesse beinhal- Beschaffungs-, Projekt- und se führen nicht zwangsläufig ten die zwingende Aktualisierung dieser Übersicht. zu einer Aktualisierung dieser Übersicht. Ein Hardware-Inventar wird aktuell geführt; Beschaffungsprozesse stellen jedoch die zwingende Aktualisierung dieses Inventars nicht sicher. Ein Hardware-Inventar wird aktuell und vollständig geführt. Beschaffungs- und Projektprozesse beinhalten die zwingende Aktualisierung dieses Inventars sowie Anpassung/Abschluss allfälliger Wartungsverträge. Ein Software-Inventar (auch Ein Software-Inventar (auch für die Lizenzkontrolle) wird für die Lizenzkontrolle) aktuell geführt; Beschaffungsprozesse stellen jedoch geführt. Beschaffungs- und wird aktuell und vollständig die zwingende Aktualisierung dieses Inventars nicht die zwingende Aktualisie- Projektprozesse beinhalten sicher. rung dieses Inventars sowie die Klärung allfälliger Lizenzierungs- und Nachlizenzierungsfragen. Es besteht eine Übersicht/ Zusammenstellung aller im Informatikbereich relevanten Verträge mit Dritten (Lieferanten, Kunden, Partner). Es besteht eine Übersicht/ Zusammenstellung aller im Informatikbereich relevanten Verträge mit Dritten (Lieferanten, Kunden, Partner). Sie wird zentral und aktuell geführt und beinhaltet alle Verträge sowie zugehörigen Dokumente wie SLA usw. Die Erkenntnisse aus der Phase 2 können so d.h. pro Kriterium mit Stark- und Schwachstellen auf ca. 10 Seiten (Format A4) umfassend visualisiert werden. Eine «inhaltliche» Beurteilung ist anhand der Beschreibungen zu den einzelnen Stufen sowie zusätzlich über die Spalte «Feststellung / Beurteilung / Empfehlung» gegeben. Fokus auf Darstellung Handlungsbedarf Wenn primär eine Aussage zum «Handlungsbedarf» gefragt ist, kann der Umfang der Berichterstattung dadurch reduziert werden, dass alle Kriterien mit Bewertungen den Stufen 3 und 4 (gute Kontrolle / wenig Risiko) sowie «n.a.» (nicht anwendbar) «unterdrückt» werden. Die bestehenden Schwachstellen und damit der Handlungsbedarf können so, je nach Situation, auf einigen wenigen Seiten (Format A4) zusammengefasst werden. 17

20 Grafische Darstellung IST-Zustand Für die Praxis erscheint den Autoren als zweckmässig, wenn eine Zusammenfassung der Bewertungen pro Themenbereich gemacht und bspw. in einem Kreisdiagramm dargestellt wird. Durch entsprechende Farbgebung können der IST-Zustand (hier grün) und der «potentielle» Handlungsbedarf (hier rot) sehr gut visualisiert werden. IT-relevante Dokumentationen unterstützende Anwendungskontrolle 4 Organisation der IT direkte Anwendungskontrolle Rechnungswesen-Anwendung Outsourcing Datensicherung IT-Governance Compliance IT-Risikomanagement IT-Projektmanagement Problem Management Software-Entwicklung IT-Betrieb Testen von IT-Anwendungen Physische Sicherheit IT-Sicherheit Zugriffschutz Anwender-Richtlinien Anwender-Ausbildung Ergänzender Kurzbericht Es erscheint den Autoren als zweckdienlich, wenn die wesentlichen Stark- und Schwachstellen sowie die wichtigsten Empfehlungen zur Optimierung der Situation in einem Kurzbericht zuhanden von Management, Verwaltungsrat und Wirtschaftsprüfer zusammengefasst werden. Der Kurzbericht ist eine wertvolle Ergänzung zur oben skizzierten grafischen Darstellung des IST-Zustandes und ermöglicht es, eine Gesamt-Beurteilung zum aktuellen Stand und Handlungsbedarf abzugeben sowie ggf. die Notwendigkeit einer detaillierten IT-Prüfung zu begründen. Empfehlungen zum weiteren Vorgehen Wenn eine grössere Zahl von Kriterien im Bereich der Maturitätsstufen 2 und 1 eingestuft werden, erachten die Autoren das Einleiten einer umfassenden Informatikrevision resp. eine weiter gehende Prüfung des Informatikeinsatzes insgesamt oder von spezifischen Prüffeldern als angezeigt. Letztlich obliegt es dem Wirtschaftsprüfer resp. dessen «Professional Judgement» bevorzugt im Gespräch mit einem erfahrenen IT-Prüfer die in den Phasen 1 und 2 gewonnenen Erkenntnisse zum Informatikeinsatz sowie die damit einher gehenden Schwachstellen und Risiken hinsichtlich deren Bedeutung für die Abschlussprüfung zu bewerten. 18

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung ISACA / SVI - IT-isikoanalyse IT-isikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung Peter Steuri Certified Information Systems Auditor dipl. Wirtschaftsinformatiker BDO

Mehr

IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel

IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel 1 IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel Peter Steuri Partner / Verantwortlicher CC Informatik BDO AG, Solothurn Einsatz des VM IT-RA in WP-Mandaten Inhaltsübersicht Modell von

Mehr

Fall 8: IKS-Prüfung nicht dokumentiert

Fall 8: IKS-Prüfung nicht dokumentiert Fall 8: IKS-Prüfung nicht dokumentiert Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-8: IKS-Prüfung nicht dokumentiert a) Die Prüfung des IKS wurde nicht dokumentiert

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Was ist der ehealthcheck?

Was ist der ehealthcheck? Kontrollen im Informatikbereich sind umso wichtiger, je stärker ein Unternehmen von Informatik-Systemen abhängig ist und je höher das Risiko ist, dass Fehler in den Geschäftsprozessen ihre Ursache im Aufbau

Mehr

Fall 6: Ungenügende Tests IT General Controls Application Controls

Fall 6: Ungenügende Tests IT General Controls Application Controls Fall 6: Ungenügende Tests IT General Controls Application Controls Bernhard Hamberger Partner Ernst & Young, Bern 6: Fehlende Prüfung der Existenz des IKS Aus den Arbeitspapieren geht hervor, dass die

Mehr

Fall 1: Keine Übersicht (Topographie)

Fall 1: Keine Übersicht (Topographie) Fall 1: Keine Übersicht (Topographie) Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-1: Keine Übersicht (Topographie) a) Darstellung der wesentlichen Geschäftsprozesse

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und IT-Risikomanagement

Rudolf Schraml. Beratung und Vertrieb IT-Security und IT-Risikomanagement Rudolf Schraml Beratung und Vertrieb IT-Security und IT-Risikomanagement CISO (Chief Information Security Officer) Ein IT-Job mit Zukunft Inhalt Wer oder was ist ein CISO? Warum ein CISO? IT - Risikomanagementprozess

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Übersicht der Fehler

Übersicht der Fehler 1 Fehler vermeiden! Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer Wie man es nicht verwenden sollte Peter R. Bitterli, CISA, CISM, CGEIT Bitterli Consulting AG & BPREX Group AG Übersicht

Mehr

Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede 10.10.2014

Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede 10.10.2014 Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede 10.10.2014 Woher weiß ich, dass sich der ganze Aufwand lohnt? Komplexitätstreiber: viele Mitarbeiter viele

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Risikomanagement zahlt sich aus

Risikomanagement zahlt sich aus Risikomanagement zahlt sich aus Thurgauer Technologieforum Risikobeurteilung - Was bedeutet das für meinen Betrieb? Tägerwilen, 19.11.2008 1 Ausgangslage (1) Jede verantwortungsbewusste Unternehmensleitung

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Zusammenfassung und Abschluss

Zusammenfassung und Abschluss ISACA/SVIR-Fachtagung Erfolgreiche Zusammenarbeit zwischen interner und externer (IT-) Revision Zusammenfassung und Abschluss Peter R. Bitterli, Ausbildungsverantwortlicher ISACA-CH Eine persönliche Zusammenfassung

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Die Lehren aus der Aufsichtstätigkeit der RAB

Die Lehren aus der Aufsichtstätigkeit der RAB Die Lehren aus der Aufsichtstätigkeit der RAB Wie immer: Eine sehr persönliche Zusammenfassung des Tages (unvollständig, mit Beispielen) Was ich gehört und verstanden habe Nicht unbedingt was die Referenten

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Der vorliegende Artikel behandelt nur Feststellungen zum IKS aus den File Reviews.

Der vorliegende Artikel behandelt nur Feststellungen zum IKS aus den File Reviews. Am 15. Juni 2011 führte die Treuhand-Kammer in Zusammenarbeit mit der ISACA [1] und der Eidg. Revisionsaufsichtsbehörde (RAB) ein Seminar zu den Erfahrungen der RAB aus ihrer Aufsichtstätigkeit zum Thema

Mehr

Angebot MS KMU-Dienste Kurzbeschreibung Bedürfnisse des Kunden Dienstleistungen MS KMU-Dienste

Angebot MS KMU-Dienste Kurzbeschreibung Bedürfnisse des Kunden Dienstleistungen MS KMU-Dienste September 2015 / 1 1. Beratung Management- Systeme Prozess-Management Identifizieren, Gestalten, Dokumentieren, Implementieren, Steuern und Verbessern der Geschäftsprozesse Klarheit über eigene Prozesse

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

RAB-Beanstandungen IT-Revision. ISACA After Hours Seminar, 27.9.2011

RAB-Beanstandungen IT-Revision. ISACA After Hours Seminar, 27.9.2011 1 Aktuelle Fragen der IT-Revision IT-Revision ISACA After Hours Seminar, 27.9.2011 Peter R. Bitterli dipl. math. ETH, CISA, CISM, CGEIT Bitterli Consulting AG / ITACS Training AG / BPREX Group AG prb@bitterli-consulting.ch

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Verwertung und Wirtschaftlichkeit. Projektmanagement. Konzeptentwicklung. Technologische/Technische Klärung

Verwertung und Wirtschaftlichkeit. Projektmanagement. Konzeptentwicklung. Technologische/Technische Klärung Zielsetzung und Einsatz: Die Checkliste dient als Hilfsmittel für die Gestaltung und Umsetzung einer Voruntersuchung. Die hier vorliegende ist auf die Abwicklung vergleichsweise komplexer Voruntersuchungen

Mehr

Vorlesung Wirtschaftsprüfung. Prüfungsplanung. 1Prof. Dr. H. R. Skopp, Wirtschaftsprüfer / Steuerberater, HS Landshut

Vorlesung Wirtschaftsprüfung. Prüfungsplanung. 1Prof. Dr. H. R. Skopp, Wirtschaftsprüfer / Steuerberater, HS Landshut Vorlesung Wirtschaftsprüfung Prüfungsplanung 1Prof. Dr. H. R. Skopp, Wirtschaftsprüfer / Steuerberater, HS Landshut Definition: Unter Planung ist der Entwurf einer Ordnung zu verstehen, nach der die eigentliche

Mehr

In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen

In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen S e i t e 3 Internes Kontrollsystem (IKS ) In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen Krzysztof Paschke 4 S e i t e IKS Definition Weitere Informationen zum Thema Governance

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Risikomanagement-System (RMS) Effizientes Risikomanagement-Tool für Treuhänder

Risikomanagement-System (RMS) Effizientes Risikomanagement-Tool für Treuhänder espbusiness Risikomanagement-System (RMS) Effizientes Risikomanagement-Tool für Treuhänder Version 2010-01 / esp business ag Risikomanagement - worum geht es und wer ist davon betroffen? Per 1.1.2008 sind

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

CALL CENTER- KURZ CHECK

CALL CENTER- KURZ CHECK CALL CENTER- KURZ CHECK DER KARER CONSULTING KURZ-CHECK FÜR IHREN TELEFONISCHEN KUNDENSERVICE Call Center Kurz Check White Paper 1 Einleitung Wollen Sie genau wissen, wie der aktuelle Stand in Ihrem telefonischen

Mehr

Fall 4: Standard Software falsch behandelt

Fall 4: Standard Software falsch behandelt Fall 4: Standard Software falsch behandelt Bernhard Hamberger Partner Ernst & Young, Bern 4: Standard-Software falsch behandelt Fehlende Prüfungshandlungen im Bereich ERP-Systeme Das Unternehmen hat ein

Mehr

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11. Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

Phase 3: Prozesse. führen. 3.1 Mitarbeiter informieren 3.2 Prozessbeteiligte schulen

Phase 3: Prozesse. führen. 3.1 Mitarbeiter informieren 3.2 Prozessbeteiligte schulen Einleitung Ziel dieses Bands ist es, den Einsteigern und Profis für die Einführung des Prozessmanagements und die systematische Verbesserung von Prozessen in kleinen und mittleren Organisationen (KMO)

Mehr

it-check EGELI nutzen sie ihr gesamtes it-potenzial informatik

it-check EGELI nutzen sie ihr gesamtes it-potenzial informatik it-check nutzen sie ihr gesamtes it-potenzial EGELI informatik optimieren sie ihre it-welt Dr. Eliane Egeli Mit unseren IT-Checks profitieren Sie in mehrfacher Hinsicht. Etwa durch die bessere Nutzung

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

13 Anhang A: Erfüllung der Norm ISO 9000 durch HERMES

13 Anhang A: Erfüllung der Norm ISO 9000 durch HERMES 13 Anhang A: Erfüllung der Norm ISO 9000 durch Hinweis Einleitung Eine der wesentlichsten Grundlagen für die Qualitätssicherung in einem Unternehmen ist die Normenserie «ISO 9000», insbesondere ISO 9001:1994

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

Krzysztof Paschke Internes Kontrollsystem (IKS) In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen

Krzysztof Paschke Internes Kontrollsystem (IKS) In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen S e i t e 1 Krzysztof Paschke Internes Kontrollsystem (IKS) In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen 2 S e i t e IKS Definition Krzysztof Paschke ist geschäftsführender

Mehr

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme 1 Die Unternehmens-IT steht vor vielfältigen Herausforderungen: Kostenreduzierung, Standardisierung, Komplexitätsreduktion, Virtualisierung, Verfügbarkeit und Steuerung externer Dienstleister werden häufig

Mehr

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System Qualität und Führung 18. Juni 2008 Integration IKS ins bestehende Management System 0 Anuschka Küng Betriebsökonomin FH Zertifizierungen Six Sigma Zertifizierung Risiko Manager CISA, CIA (i.a.) CV Geschäftsführerin

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Ausführungen zum Internen Kontrollsystem IKS

Ausführungen zum Internen Kontrollsystem IKS Ausführungen zum Internen Kontrollsystem IKS verantwortlich Fachbereich Alter Ausgabedatum: April 2008 CURAVIVA Schweiz Zieglerstrasse 53 3000 Bern 14 Telefon +41 (0) 31 385 33 33 info@curaviva.ch www.curaviva.ch

Mehr

QUICK-CHECK IT-SICHERHEIT

QUICK-CHECK IT-SICHERHEIT QUICK-CHECK IT-SICHERHEIT Systeme fachkundig überprüfen lassen? Die Führung eines Unternehmens ist für dessen reibungslosen Ablauf verantwortlich. IT-Systeme spielen dabei eine wichtige Rolle. Im digitalen

Mehr

Risikolandkarte FUB Revision R 038 - Schlussbericht

Risikolandkarte FUB Revision R 038 - Schlussbericht Eidgenössisches Departement für Verteidigung, Bevö kerungsschutz und Sport VBS Generalsekretariat VBS Inspektorat VBS 26. August 2014 Risikolandkarte FUB Revision R 038 - Schlussbericht Inhaltsverzeichnis

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Qualitätsaudits und Management-Review

Qualitätsaudits und Management-Review Ausgabe 2 Seite 1 von 4 Qualitätsaudits und Management-Review 1 Qualitätsaudits Der Qualitätsmanagement-Beauftragte führt interne Qualitätsaudits durch, bei denen jeder Bereich inklusive der POCT-Beauftragten

Mehr

InterimIT GmbH. Interimsmanagement Managementberatung IT-Analyse und Auditierung. Vakanzen strategisch nutzen, Veränderungen verlässlich gestalten.

InterimIT GmbH. Interimsmanagement Managementberatung IT-Analyse und Auditierung. Vakanzen strategisch nutzen, Veränderungen verlässlich gestalten. Interimsmanagement Managementberatung IT-Analyse und Auditierung Vakanzen strategisch nutzen, Veränderungen verlässlich gestalten. Matthias Burgardt Geschäftsführender Gesellschafter Haneschstr. 12, 49090

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Leseauszug DGQ-Band 14-26

Leseauszug DGQ-Band 14-26 Leseauszug DGQ-Band 14-26 Einleitung Dieser Band liefert einen Ansatz zur Einführung von Prozessmanagement in kleinen und mittleren Organisationen (KMO) 1. Die Erfolgskriterien für eine Einführung werden

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

INFORMATIK-BESCHAFFUNG

INFORMATIK-BESCHAFFUNG Leistungsübersicht Von Anbietern unabhängige Entscheidungsgrundlagen Optimale Evaluationen und langfristige Investitionen Minimierte technische und finanzielle Risiken Effiziente und zielgerichtete Beschaffungen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

Analyse und Optimierung das A&O des Marktdaten- Managements

Analyse und Optimierung das A&O des Marktdaten- Managements Analyse und Optimierung das A&O des Marktdaten- Managements Marktdaten-Management dacoma A&O Services Herausforderung Handlungsbedarf: Die Praxis des Marktdaten-Managements risikobehaftet und kostenintensiv?

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Fallstudie mit einem ausgelagerten Kernprozess

Fallstudie mit einem ausgelagerten Kernprozess 1 Fallstudie mit einem ausgelagerten Kernprozess Fraesy Föhn dipl. Wirtschaftsprüfer Bereichsleiter WP Partner OBT AG, Rapperswil Gliederung Referat Inhaltsverzeichnis: 1. Ausgangslage 2. Gründe für ein

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

IKS KURZ-CHECK. Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem

IKS KURZ-CHECK. Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem IKS KURZ-CHECK Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem Ausgangssituation Mit der am 1. Januar 2008 in Kraft getretenen Revision des Schweizer Obligationsrechtes (insb. Art. 728a, 728b,

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

ZKI-Herbsttagung 2010 Evaluation von IT-Organisationen 22. September 2010. Dr. Hansjörg Neeb

ZKI-Herbsttagung 2010 Evaluation von IT-Organisationen 22. September 2010. Dr. Hansjörg Neeb Evaluation von IT-Organisationen Dr. Hansjörg Neeb Die gegenseitige Erwartungshaltung von Fachbereichen und IT ist konfliktträchtig Fachbereiche Typische Aussagen: Anwendung xy soll bei uns eingeführt

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher

Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher Umfrage Risikomanagement Im Sommer 2010 wurde in Zusammenarbeit von Quality Austria und Mag. Hedwig Pintscher eine Umfrage

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

Überbetriebliches Prüfungshandbuch für Interne Revision in Bausparkassen Seite 1 / 6

Überbetriebliches Prüfungshandbuch für Interne Revision in Bausparkassen Seite 1 / 6 Überbetriebliches Prüfungshandbuch für Interne Revision in Bausparkassen Seite 1 / 6 Grundsätze des Internen Kontrollsystems (IKS) Einleitung 25a Abs. 1 Nr. 2 KWG verlangt u.a., dass Kreditinstitute über

Mehr

PROJEKTNAVIGATOR - effektives und effizientes Steuern von Projekten -

PROJEKTNAVIGATOR - effektives und effizientes Steuern von Projekten - PROJEKTNAVIGATOR - effektives und effizientes Steuern von Projekten - Stand: Mai 2013 KLAUS PETERSEN Was ist der Projektnavigator? Der Projektnavigator ist ein wikibasierter Leitfaden zur einheitlichen

Mehr

Testfragen PRINCE2 Foundation

Testfragen PRINCE2 Foundation Testfragen PRINCE2 Foundation Multiple Choice Prüfungsdauer: 20 Minuten Hinweise zur Prüfung 1. Sie sollten versuchen, alle 25 Fragen zu beantworten. 2. Zur Beantwortung der Fragen stehen Ihnen 20 Minuten

Mehr

Das Interne Kontrollsystem 11.11.2011 Anuschka Küng

Das Interne Kontrollsystem 11.11.2011 Anuschka Küng Das Interne Kontrollsystem 11.11.2011 Anuschka Küng Acons Governance & Audit AG Herostrasse 9 8047 Zürich Tel: +41 (0) 44 224 30 00 Tel: +41 (0) 79 352 75 31 1 Zur Person Anuschka A. Küng Betriebsökonomin

Mehr

NEUORDNUNG DER REVISION

NEUORDNUNG DER REVISION NEUORDNUNG DER REVISION Die Neuordnung der Revision hat zur Folge, dass das Obligationenrecht und teilweise auch das Zivilgesetzbuch wesentliche Änderungen erfahren. Ferner wird neu eine Aufsichtsbehörde

Mehr

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische

Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Wachsende Anzahl kommunaler Aufgaben Schwindende Finanzspielräume Demografischer Wandel Hohe IT-Ausstattung der Arbeitsplätze > Technische Komplexität steigt > Wachsende Abhängigkeit von der IT Steigende

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Projektauszüge. Bundesbehörde. Bundesbehörde (Senior Manager Consultant)

Projektauszüge. Bundesbehörde. Bundesbehörde (Senior Manager Consultant) Bundesbehörde Bundesbehörde (Senior Manager Consultant) Unterstützung der Abteilung Organisation und IT Services bei der Konzeptionierung eines zukünftigen Lizenzmanagements Analyse der Ist Prozesse und

Mehr

BEARBEITUNGSREGLEMENT EXTERN. Geschäftsleitung Mitarbeiter Homepage

BEARBEITUNGSREGLEMENT EXTERN. Geschäftsleitung Mitarbeiter Homepage BEARBEITUNGSREGLEMENT EXTERN Verteiler: Vorstand Geschäftsleitung Mitarbeiter Homepage Dokument: QzDAS-006/Bearbeitungsreglement extern Geändert am: 12:00:00 AM Freigegeben am: 12/22/2015 Seite 2 von 8

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Incident Management Anatolij Ristok, AI 7 Aktuelle Themen der Informatik Übersicht Einführung Incident Management Process, Incident Lifecycle n-level Support Dokumentation Klassifizierung Priorisierung

Mehr

Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch. ARTS Workflow.

Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch. ARTS Workflow. Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch ARTS Workflow Funktionalitäten 22.05.2014 Sie möchten Informationen in Ihrem Betrieb anderen Stellen

Mehr

Internes Kontrollsystem und andere Neuerungen im Schweizer Recht

Internes Kontrollsystem und andere Neuerungen im Schweizer Recht und andere Neuerungen im Schweizer Recht Inkrafttreten. Januar 008. November 007 Slide Vorbemerkung: Die neuen Bestimmungen zum Revisionsrecht Gesellschaftsgrösse Publikumsgesellschaft Wirtschaftlich bedeutende

Mehr