Werkzeugunterstützung für Governance, Risk und Compliance Management. Anforderungen und Marktüberblick

Größe: px
Ab Seite anzeigen:

Download "Werkzeugunterstützung für Governance, Risk und Compliance Management. Anforderungen und Marktüberblick"

Transkript

1 Werkzeugunterstützung für Governance, Risk und Compliance Management Anforderungen und Marktüberblick

2 Autorin: Sandra Weuster, Master of Science Wirtschaftsinformatik Softwareforen Leipzig GmbH Hainstraße Leipzig T F E I Vertretungsberechtigter Geschäftsführer: Dr. André Köhler Registergericht: Amtsgericht Leipzig, HRB Inhaltlich verantwortlich gemäß 6 MDStV: Dr. André Köhler Softwareforen Leipzig GmbH, Leipzig, Deutschland, Alle Rechte vorbehalten.

3 Werkzeugunterstützung für Governance, Risk und Compliance Management Anforderungen und Marktüberblick

4 Inhaltsverzeichnis Abbildungsverzeichnis...5 Tabellenverzeichnis...6 Abkürzungsverzeichnis Einführung Grundlagen und Begriffsabgrenzungen Anforderungen an eine Werkzeugunterstützung Ziele und Grundlagen der Werkzeugunterstützung Ziele der Werkzeugunterstützung Grundlagen der Werkzeugunterstützung Anforderungen gemäß GRC Risiko-Anforderungen Compliance-Anforderungen Governance-Anforderungen Werkzeugunterstützung für IT-gestütztes GRC Allgemeine Vorgehensweise Erfüllung der GRC-Anforderungen Fazit...32 Literaturverzeichnis

5 Abbildungsverzeichnis Abb. 1: Die Trias»Governance-Risk-Compliance« Abb. 2: Zusammenhang zwischen den einzelnen Anforderungen Abb. 3: Referenzmodelle als Grundlage für IT-Governance-Ansätze Abb. 4: Klassifikation existierender Softwarelösungen

6 Tabellenverzeichnis Tab. 1: Übersicht der Risiko-Anforderungen Tab. 2: Übersicht der Compliance-Anforderungen Tab. 3: Übersicht der Governance-Anforderungen Tab. 4: Übersicht der gesamten GRC-Anforderungen Tab. 5: Marktüberblick relevanter Management- und Prozessphasen-Tools Tab. 6: Gesamtübersicht der Anforderungen und Software-Lösungen

7 Abkürzungsverzeichnis BaFin Basel II BSI CobiT COSO egrc GRC ISACA ISO IT ITGI ITIL KonTraG MaRisk PwC Bundesanstalt für Finanzdienstleistungsaufsicht Gesamtheit der Eigenkapitelvorschriften, die vom Basler Ausschuss für Bankenaufsicht vorgeschlagen wurden Bundesamt für Sicherheit in der Informationstechnik Control Objectives for Information and Related Technology Committee of Sponsoring Organizations of the Threadway Commission Enterprise Governance, Risk und Compliance Governance, Risk, Compliance Information Systems Audit and Control Association International Organization for Standardization Internationale Organisation für Normung Informationstechnologie IT-Governance Institute IT Infrastructure Library Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Mindestanforderungen an das Risikomanagement PricewaterhouseCoopers (Wirtschaftsprüfungsgesellschaft) 7

8 1. Einführung 8

9 Governance, Risk und Compliance und die effiziente Erfüllung durch oder mittels verfügbarer Informationstechnologien (IT) ist gegenwärtig von großer Bedeutung für eine Vielzahl von Unternehmen. Eine kontinuierlich wachsende Zahl von Gesetzen, Regularien sowie Standards und Best Practices tragen dazu bei, dass die Mehrheit der Unternehmen sich nicht nur verstärkt mit diesen Anforderungen auseinandersetzt, sondern auch nach geeigneten technologischen Lösungen sucht, um diese Aufgabe beherrschbar zu machen. Ziel dieser Studie ist es, den Zusammenhang von Governance, Risk und Compliance-Management im Unternehmen darzulegen und darauf aufbauend auf die Ansätze zur IT-gestützten Umsetzung dieser drei Kernbereiche einzugehen. Folgende zwei zentrale Fragen sollen im Rahmen dieser Studie beantwortet werden: 1. Welche Anforderungen ergeben sich aus dem Governance, Risk und Compliance-Management sowie aus etablierten Standards, wie CobiT und ITIL, an eine Softwarelösung? 2. Welche Softwarelösungen sind bereits am Markt verfügbar, um die jeweiligen Verantwortlichen im Unternehmen in ihren Aufgaben bestmöglich zu unterstützen? Die Beantwortung dieser Fragen soll es zukünftig den Verantwortlichen für GRC ermöglichen, ihre Aufgaben bestmöglich im Sinne der Unternehmensziele und Unternehmensstrategien zu erfüllen. 9

10 2. Grundlagen und Begriffsabgrenzungen 10

11 2.1 Governance, Risk und Compliance Der Begriff Governance, Risk und Compliance-Management (GRC) fasst drei wesentliche Handlungsebenen der Unternehmensführung zusammen, welche nachfolgend kurz beschrieben werden. Der Begriff Corporate Governance kann mit den Bezeichnungen Unternehmensleitung und -kontrolle gleichgesetzt werden und ist dahingehend eng mit der Unternehmensführung verknüpft. Er trägt wesentlich zur Effizienz des Unternehmens bei [Zöll07, Falk12, Homm09] und hat zur Aufgabe, einen»rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens«[Homm09] festzulegen. Betrachtet man nun in einem weiteren Schritt die Corporate-Governance aus dem Blickwinkel der IT-Abteilungen, so ergibt sich der Begriff der IT-Governance. So liegt gemäß des IT-Governance-Institutes die IT-Governance in der Verantwortung des Vorstandes und des Managements und ist daher als wesentlicher Bestandteil der Unternehmensführung anzusehen. Sie besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt [Thom06]. Aus den zahlreichen Definitionen, welche in der Literatur zu finden sind, wird ersichtlich, dass die IT-Governance und die Corporate-Governance eng miteinander verbunden sind und dass eine getrennte Betrachtung beider Begriffe weder in der Wissenschaft noch im Unternehmen zielführend erscheint. Fasst man den Begriff der IT-Governance weiter, also über den Bereich der IT-Abteilungen hinaus, hin zu anderen Fachbereichen des Unternehmens, welche ebenfalls IT-Systeme nutzen, so spricht man von der IT-gestützten Governance. Diese betrachtet die IT-Governance nicht allein aus Sicht der IT-Abteilungen, sondern aus der gesamten Unternehmensperspektive. Ihr Ziel ist es, zu klären, welchen Beitrag die IT leisten kann (IT Alignment), um die Unternehmensführung optimal zu unterstützen. Dies kann beispielsweise mittels geeigneter Softwarelösungen erfolgen, welche die Geschäftsprozesse im Sinne der Unternehmensziele und -strategie bestmöglich unterstützen. Der Begriff Risiko kann sowohl als negative als auch als positive Abweichung eines tatsächlichen von einem erwarteten Ereignis definiert werden [Seib06]. Das Risikomanagement ist hier als ein Prozess zu verstehen, welcher diese negativen bzw. positiven Ereignisse erkennt und hinreichende Sicherheit in Bezug auf die Erreichung der Ziele des Unternehmens gewährleistet [COSO04]. Das Compliance-Management ist ebenfalls als Teilbereich der (Corporate-)Governance zu verstehen. Compliance wird als die Summe»aller Maßnahmen zur Einhaltung von gesetzlichen und anderen Regeln, die dem Unternehmen extern vorgegeben sind, und die Ausarbeitung von Regeln, die sich das Unternehmen selber gegeben hat, sowie die dazu eingeführten Maßnahmen«[Behr10] definiert. Das Compliance-Management ist nun als eine Erweiterung des Begriffs Compliance zu verstehen. Es bezeichnet die Auseinandersetzung mit Fragen der Gestaltung von Compliance der Unternehmen (bzw. der betrieblichen Praxis) und stellt somit die Verbindung zur Corporate-Governance dar. Die IT-Compliance stellt einen wesentlichen Teilbereich der Corporate Compliance dar, welche wiederum mit der Corporate sowie der IT-Governance eng verbunden ist. 11

12 2.2 Zusammenspiel der Bereiche Governance, Risk und Compliance Die Betrachtung des Themenbereichs GRC als zusammenhängendes Konstrukt ist für die Bearbeitung der in dieser Studie vorgestellten Fragestellung unerlässlich. Die nachfolgende Abbildung 1 gibt eine Vorstellung von den Zusammenhängen zwischen Governance, Risk und Compliance. Dem übergeordnet ist die Corporate-Governance als wichtiges Führungsinstrumentarium. Sie legt für das Risiko- und Compliance-Management die Verantwortlichkeiten fest und hat im Hinblick auf die Unternehmensziele die richtigen Entscheidungen auf Grundlage der Erkenntnisse aus dem Risiko- und Compliance- Corporate Governance IT-Governance Compliance Management IT Risk Management IT-Compliance Management IT-Risk Management Abb. 1: Die Trias»Governance-Risk-Compliance«[Klot09] Vor dem Hintergrund zunehmender gesetzlicher Anforderungen, Standards und Best Practices, welche ein Unternehmen zu erfüllen hat, steigt der Bedarf an Risiko-Managementsystemen, mit deren Hilfe Risiken im Unternehmen effektiv und effizient identifiziert, bewertet und gesteuert werden können. Diese Risiken können verschiedene Ursachen haben. So können sie aus der Nichteinhaltung von Compliance (Verletzung gesetzlicher Bestimmungen) und aus dem alltäglichen Geschäftsbetrieb herrühren oder IT-Risiken darstellen, die in Zusammenhang mit der nicht ordnungsgemäßen Verwendung der IT und ihrer Bestandteile entstehen. Um ein effizientes und effektives Risikomanagement zu gewährleisten, ist es daher notwendig, alle gesetzlichen Auflagen zu kennen und für deren Erfüllung zu sorgen. Dies ist Aufgabe des Compliance-Managements. Es zeigt sich somit die enge Verflechtung zwischen Risiko-Management und Compliance-Management, welche sich gegenseitig beeinflussen. Zum einen führt die Nichteinhaltung von Compliance zu neuen Risiken, andererseits entstehen durch neu entdeckte Risiken veränderte oder neue (interne) Compliance-Vorschriften. Management zu treffen. Somit finden Einflüsse sowohl von der Corporate-Governance auf das nachgelagerte Risiko- und Compliance-Management statt, als auch umgekehrt beeinflussen das Risiko- und Compliance-Management die Entscheidungen auf der Ebene der Unternehmensleitung. Aufgrund dieser inhaltlichen Zusammenhänge wird in der Literatur vielfach von der Trias»Governance-Risk-Compliance«(GRC) gesprochen, welche eine»integrierte Strategie und ein gemeinsames Management«erfordert [Klot09]. Neben den zuvor erwähnten regulatorischen Anforderungen sehen sich die Unternehmen auch einer hohen Marktdynamik gegenüber, welche aus schnellen technologischen Entwicklungen, kurzen Produktlebenszyklen sowie der Internationalisierung resultieren. Daraus folgt, dass Unternehmen zum einen ihre Geschäftsrisiken genauer im Blick behalten und zum anderen die Flexibilität ihrer Geschäftsprozesse gewährleisten müssen, um schnell auf marktbezogene Veränderungen reagieren zu können [MaNi09]. Dies erfordert eine agile und kundenorientierte IT-Unterstützung [MaNi09] wel- 12

13 che die Relevanz der IT-gestützten GRC zunehmend in den Mittelpunkt rückt. Von besonderer Wichtigkeit sind hierbei ganzheitliche und unternehmensweite Ansätze, welche insbesondere beim Einsatz von Softwarelösungen von ausschlaggebender Bedeutung sind. Vielfach findet jedoch eine Abgrenzung der verschiedenen Themenbereiche entweder auf Risiko- oder auf Compliance-Management statt. Diese Sichtweise ist jedoch nicht zielführend im Umgang mit GRC im Unternehmen und führt in der Praxis vielfach zu Verwirrungen. Der Aufbau von Insellösungen im Unternehmen (einerseits Risiko- und andererseits Compliance-Managementsysteme) führt hingegen zu Intransparenzen, Redundanzen und Inhomogenität von Daten. Um dem entgegenzuwirken, ist es sinnvoller, ein Managementsystem im Unternehmen zu implementieren, welches den Regelkreislauf der Aufbau- und Ablauforganisation beinhaltet [Sche11]. Es ist also von besonderer Bedeutung, den Themenbereich GRC immer als Ganzes zu betrachten und dementsprechend Softwarelösungen zu implementieren, die dieser Anforderung gerecht werden. 13

14 3. Anforderungen an eine Werkzeugunterstützung 14

15 3.1 Ziele und Grundlagen der Werkzeugunterstützung Ziele der Werkzeugunterstützung Zur Erfüllung der GRC-Anforderungen steht den Unternehmen ein breites Spektrum an Software zur Verfügung. Dieses reicht von einfachen Standardlösungen wie Microsoft Excel, welche durch spezielle Add-Ons erweitert werden können, bis hin zu integrierten Gesamtlösungen, welche damit werben, alle Anforderungen aus GRC gleichermaßen zu erfüllen. Obwohl den Unternehmen damit viele Möglichkeiten zur Erfüllung ihrer Aufgaben gegeben sind, ist nach wie vor zu beobachten, dass Excel als Werkzeugunterstützung vorrangig genutzt wird [Gund10, CW13]. Dies ist auf unterschiedliche Gründe zurückzuführen. Zum einen bestehen Vorteile in der starken Verbreitung der Anwendung, auch standort- und länderübergreifend. Ein Unternehmen muss sich um die Implementierung in die bestehende Systemlandschaft sowie die Schulung seiner Mitarbeiter nur bedingt kümmern, da Microsoft Excel als Standardsoftware bereits hinreichend unter den Nutzern von Microsoft Office bekannt ist. Vielfach wird sogar davon ausgegangen, dass auch neue Mitarbeiter fähig sind, mit dieser Software umzugehen. Zudem ist eine hohe Kompatibilität zwischen Excel und anderen Microsoft-Produkten (wie Word oder Power Point) gegeben. Dennoch ist die Verwendung von Microsoft Excel im Bereich des Risiko- und Compliance-Managements auch mit Nachteilen verbunden, denn Excel als Werkzeugunterstützung sowie andere Tools, welche als Insellösungen in den Unternehmen vorherrschen, sind zumeist wenig effizient und verursachen zudem langfristig gesehen zu hohe Kosten [CW13]. Durch den Einsatz von Insellösungen entstehen so unter anderem Redundanzen in den Datensätzen, eine mangelnde Vergleichbarkeit der Ergebnisse sowie Ineffizienzen [Gund10, Sche11], da verschiedene Abteilungen zumeist ihre eigenen Daten bezüglich des Risikos erheben. Der Einsatz von geeigneten Softwarelösungen kann dem entgegenwirken und ist somit außerhalb des gängigen Office-Pakets von entscheidender Bedeutung. Speziallösungen sowie integrierte GRC-Lösungen ermöglichen eine Qualitätssteigerung der Prozesse, eine einfachere Darstellung der Daten sowie einen leichteren Umgang mit den Daten. Weitere Gründe für die Einführung einer geeigneten Softwarelösung können rechtlicher, wirtschaftlicher oder betrieblicher Natur sein [Hoff10]. Zu den rechtlichen Gründen zählen die Zunahme von gesetzlichen Anforderungen in Form von Gesetzen, wie 43 GmbH-Gesetz, 93 Aktiengesetz, KonTraG, SOX und weitere sowie die in diesem Zusammenhang steigende Komplexität in der Bewältigung dieser Vorschriften. Zu den wirtschaftlichen Gründen zählen die Möglichkeit, durch geeignete Automatisierungsprozesse und Software-Unterstützung Kosten, Personal und Ressourcen einzusparen. Die betrieblichen Gründe schließlich sind von besonderer Relevanz, da sich aus dem IT-Einsatz rückführend Kosteneinsparungspotenziale generieren lassen [Hoff10, Sche11]. Neben diesen Gründen sind noch weitere in Literatur und Praxis zu finden, welche den gleichen Tenor aufweisen. So beschreiben Nemeyer und Pricewaterhouse- Coopers (PwC) neben allgemeinen Anforderungen an eine Tool-Unterstützung auch wesentliche Vorteile. Im Gegensatz zu Excel müssen Änderungen im System nicht manuell kommuniziert werden. Stattdessen werden Normen und Entscheidungen sofort durchgesetzt und vereinfachen so das Berichtswesen und führen zu einer höheren Aktualität der Daten. Auch die Modellierung der Geschäftsprozesse ist auf ein akzeptables 15

16 Maß vereinfacht und flexibilisiert. Manuelle Aufwände und die damit verbundenen Kosten können so reduziert werden. Darüber hinaus entfällt die im Fall von Excel notwendige Formelpflege, Fehlersuche, Datenzusammenführung und Verhinderung von Datenredundanzen. Nicht zuletzt ermöglicht der Einsatz von geeigneten Softwarelösungen eine effiziente und transparente Unternehmenssteuerung sowie die dauerhafte Sicherung der Unternehmensziele, was zu mehr Sicherheit und Wirksamkeit führt [PwC12, Neme10]. In Unternehmen mit komplexen GRC-Strukturen ist die Verwendung von Speziallösungen bzw. integrierten Lösungen demnach von entscheidendem Vorteil Grundlagen der Werkzeugunterstützung Nachfolgend werden die spezifischen Governance-, Risiko- und Compliance-Anforderungen (Abschnitt 3.2) sowie die Anforderungen aus relevanten Rahmenwerken und Standards (Abschnitt 3.3) anhand einer detaillierten Literaturanalyse erhoben. Dabei ist zu beachten, dass es zwischen den einzelnen Bereichen und Anforderungskategorien zu Redundanzen kommen kann. Aufgrund dessen, das sich viele Governance-Anforderungen meist indirekt aus denen des Risiko- und Compliance-Managements ergeben, werden nachfolgend zunächst jene des Risiko- und Compliance-Managements erörtert bevor anschließend detailliert auf die Governance-Anforderungen eingegangen wird (siehe Abbildung 2). Risk Management Compliance Management Governance Abb. 2: Zusammenhang zwischen den einzelnen Anforderungen 3.2 Anforderungen gemäß GRC Risiko-Anforderungen Die Anforderungen des Risikomanagements ergeben sich zunächst aus den detaillierten regulatorischen Anforderungen, welche auf Gesetzen, Best Practices sowie internen Richtlinien beruhen. Hier ist bereits ein konkreter Zusammenhang zum Compliance-Management und dessen Anforderungen erkennbar. So ergibt sich eine Vielzahl der Risiken aus dem Umstand, dass das Unternehmen nicht compliant ist. Eine vollständige und stets aktuelle Kommunikation zwischen dem Compliance- und dem Risikomanagement ist daher unabdingbar und stellt eine der wesentlichen Anforderungen an die Software dar. Eine erste Anforderung, welche sich hieraus ableiten lässt, ist die vollständige und aktuelle Darstellung aller risikorelevanten Vorschriften, seien sie nun extern (KontraG, BilMog) vorgegeben oder intern festgelegt, sowie die sich daraus ergebenden Maßnahmen, welche das Unternehmen umzusetzen hat. Darüber hinaus lässt sich eine Vielzahl von Anforderungen aus dem Risikomanagement-Prozess [ISAC10] des Unternehmens ableiten. Dieser Prozess besteht im Wesentlichen aus den Prozessschritten (1) Risikoidentifikation, (2) Risikobewertung, (3) Risikoanalyse, (4) Risikosteuerung und Risikokontrolle sowie (5) Risikoüberwachung und Risikoreporting [Mele09]. So sollte die entsprechende Software im Rahmen der Risikoidentifikation dafür Sorge tragen, dass das gesamte Risikoinventar (d. h. die Risiken bzw. die Risikoszenarien) ebenso wie die schlagend gewordenen Risiken darin abbildbar sind. Dies kann dadurch erreicht werden, 16

17 Risiko-Anforderungen Vollständige und aktuelle Darstellung aller risikorelevanten Vorschriften Erfassung und einheitliche Aufbereitung aller internen und externen Daten Gewährleistung eines reibungslosen Informations- und Kommunikationsflusses zwischen den einzelnen Organisationseinheiten und Beteiligten Darstellung der Unternehmensrisikoposition Abbildung der realen Risikobereitschaft und deren Umsetzung in Richtlinien Abbildung des Risikomanagements als kontinuierlichen Prozess: Risiko-Identifikation: -- Kontinuierliche Erhebung, Dokumentation und Analyse der gesamten Unternehmensrisiken -- Abbildung von Ursache-Wirkungs-Beziehungen und von Korrelationen zwischen Risiken Risikobewertung: -- Quantitative und qualitative Bewertung der Risiken (Risikomaß) -- Erfassung der Risikokosten -- Beurteilung der Wirksamkeit bestehender risikopolitischer Bewältigungsmaßnahmen und Ansatzpunkte zur Verbesserung -- Priorität, mit welcher die Maßnahmen zur Bewältigung realisiert werden sollen (Handlungsbedarf) Risikoanalyse: -- Berechnung der Risiken und risikoorientierter Kennzahlen -- Beschreibung der Risiken (mittels Wahrscheinlichkeitsverteilungen) -- Festlegung von Risikobewältigungsmaßnahmen (Maßnahmencontrolling) Risikosteuerung und -kontrolle mittels der Analyse der Auswirkungen der Risiken Risikoüberwachung und -reporting: -- Zuweisung eines Risikoverantwortlichen (Risk Owner) -- Anwenderspezifische Auswertung und Aufbereitung der durchgeführten Risikoanalysen -- Soll-Ist-Vergleich zur Erfolgskontrolle umgesetzter Maßnahmen Schnittstelle zum Compliance-Management Tab. 1: Übersicht der Risiko-Anforderungen dass die Software einen Risikokatalog, bestehend aus Risikokategorien, zur Verfügung stellt. Die Erfassung und Verarbeitung aller aussagekräftigen internen (aus Buchhaltung und Controlling) und externen (aus öffentlich zugänglichen Datenbanken) Informationen, welche in direktem Zusammenhang mit den Risiken stehen, sind somit ebenfalls vorzunehmen [GlRo05]. Darüber hinaus sollte eine automatisierte Risikoumfrage zur Identifizierung (neuer) Risiken Bestandteil der Software sein [Mele09, GlRo05]. Die Risikobewertung gibt vor, dass eine Priorisierung der zuvor evaluierten Risiken möglich sein sollte. Die Bewertung der Risiken kann dabei anhand eines einheitlichen Risikomaßes, wie bspw. dem Value-at-Risk, vorgenommen werden. Daraus lassen sich die Risiken hinsichtlich ihres Gefährdungspotenzials kategorisieren und so aussagekräftige Informationen über die Risikolage des Unternehmens generieren. Von entscheidender Bedeutung ist hierbei vor allem, dass sich die Risiken zu einem Gesamtrisiko aggregieren lassen [GlRo05]. Zusätzlich ließen sich so Bruttobewertungen (Auswirkungen vor Maßnahmenergreifung), Nettobewertung (Schadensausmaß nach Umsetzung der Maßnahmen) sowie Zielbewertungen (Auswirkungen von zusätzlichen, noch nicht umgesetzten Maßnahmen) vornehmen [Mele09]. Zur Risikoanalyse gehört gemäß Seibold und Meletiadou et al. ein eigenständiges Frühwarnsystem für die Risikoindikatoren, welches in den Risikomanagement-Prozess integriert sein sollte [Seib06, Mele09]. Ebenso sollten die Maßnahmen, welche zu einem konkreten Risikosachverhalt erfasst werden können, abgebildet werden [Mele09]. Des Weiteren stellen eine gute Analysemöglichkeit der Datenbestände sowie gute Simulations- und Prognosemöglichkeiten ebenfalls eine Grundvoraussetzung für die Einführung einer Software-Lösung dar [Seib06]. Im Rahmen der Risikosteuerung und -kontrolle ist es notwendig, dass eine Analyse der Auswirkungen eines Sachschadens bzw. Betriebsunterbrechungsszenarios möglich ist. Es ist erforderlich, aus der Steuerung der Risikomaßnahmen die Risikolage des Unternehmens nachzuvollziehen und die Risikosituation durch geeignete Maßnahmen zu beeinflussen [GlRo05]. 17

18 Aus dem letzten Prozessschritt Risikoreporting ergibt sich die nachweislich bedeutendste Anforderung für viele Unternehmen. Hiernach sollten sämtliche Risiken und deren Bewältigung im Rahmen des Reportings vollständig erfasst und entsprechend der jeweiligen Zielgruppe aggregiert dargestellt werden. Dies erfordert die Zuweisung eines Risiko-Verantwortlichen (Risk Owner) und schließt die flexible Gestaltung und die grafische Darstellung, das Layout sowie die mediale Weiterverarbeitung der Berichte mit ein [GlRo05, Mele09]. Darüber hinaus ist es notwendig, den Umsetzungsgrad von Gegenmaßnahmen zu ermitteln sowie eine Workflow-Darstellung zu gewährleisten, indem unterschiedliche Aufgaben an unterschiedliche Personen und Rollen delegiert werden können. Dies setzt die Mandantenfähigkeit des Systems voraus sowie ein durchdachtes und an das Unternehmen anpassbares Berechtigungsmodell [Gund11]. Tabelle 1 fasst die erhobenen Anforderungen nochmals zusammen Compliance-Anforderungen Wie die Risiko-Anforderungen ergeben sich auch die Anforderungen des Compliance-Managements zunächst aus den regulatorischen Anforderungen, welche sich vorrangig in Gesetzen, Best Practices und internen Richtlinien finden [Inte, ISAC10]. Die Darstellung der relevanten regulatorischen Anforderungen muss vollständig sowie nachvollziehbar gewährleistet werden. Dies kann mittels eines Compliance-Registers sowie eines hinterlegten Dokumenten-Management-Systems umgesetzt werden. Gemäß [RaSp09] sind drei Arten von Funktionen von Compliance-Management-Software zu unterscheiden: (1) kontrollbezogene Funktionen bzw. automatisierte Kontrollen, welche die Durchführung von Kontrollen auf allen Ebenen der IT-Architektur ermöglichen, (2) Anwendungen zum Nachweis der Compliance, d. h. kontrollierte Prozessmodellierung und dokumentation sowie Ermittlung der Differenz zwischen Ist- und Soll-Zustand und (3) Anwendungen zur Unterstützung des gesamten Compliance-Prozesses. In diesem Sinne sollte das Tool über eine Anforderungsdatenbank zur Identifikation, Analyse und Aufnahme von regulatorischen Anforderungen sowie über eine Reportfunktion verfügen. Aus dieser ersten Kategorisierung der Anforderungen ist bereits erkennbar, dass auch das Compliance-Management mittels eines kontinuierlichen Prozesses (PDCA-Kreislauf) abzubilden ist. Dieser beinhaltet im Wesentlichen die Prozessschritte Plan, Do, Check und Act. In einem ersten Schritt wird die Erfassung, Verwaltung, Speicherung, Aufbewahrung, Archivierung und Bereitstellung von Dokumenten und Daten gefordert, um die Compliance-Anforderung der Nachvollziehbarkeit zu gewährleisten [RaSp09]. Die systematische Analyse von Unternehmensdaten und die darauf aufbauende Unternehmensbewertung (inwieweit das Unternehmen compliant ist) zählen ebenso zu den wichtigen Anforderungen an eine Software. Darüber hinaus finden sich noch weitere Anforderungen in der 2012 erschienenen Dissertation von Falk, welcher zahlreiche (IT-)Compliance-Anforderungen anhand der Anspruchsgruppen eines Unternehmens identifiziert hat [Falk12]. Tabelle 2 fasst wiederum die relevanten Compliance - -Anforderungen zusammen. Compliance-Anforderungen Übersichtliche, verständliche und aktuelle Darstellung der relevanten rechtlichen Vorgaben Einhaltung aller regulatorischen Anforderungen (rechtliche Vorgaben, Verträge, interne sowie externe Regelwerke) Etablierung eines internen Kontrollsystems (IKS) Zusammenfassung ähnlicher Compliance-Vorschriften im Sinne der Effizienz Überwachung von gesetzlichen und unternehmensinternen Veränderungen Überwachung von Maßnahmen und deren Fortschritte Erstellung von anwenderspezifischen Berichten (auch Ad hoc-berichte) zum Compliance-Status Analyse der Unternehmensdaten und darauf aufbauend Bewertung des Unternehmens (inwieweit es compliant ist) Tab. 2: Übersicht der Compliance-Anforderungen 18

19 3.2.1 Governance-Anforderungen Wie bereits in Abschnitt 2.1 dargelegt, sind in der Literatur wie auch in der Praxis verschiedene Definitionsversuche der Begriffe Corporate-Governance und IT-Governance zu finden. Es ist zu beobachten, dass das Verständnis von Governance je nach wissenschaftlichem oder praktischem Hintergrund unterschiedlich ausgeprägt ist. Dies kann zum einen darauf zurückgeführt werden, dass Governance als ein strategischer Begriff anzusehen ist, welcher im Gegensatz zu den Begriffen Risiko und Compliance nur schwer operationalisierbar und messbar ist. Er beruht im Wesentlichen auf individuellen Prinzipien und allgemeinen Rahmenbedingungen, welche das Unternehmen für sich festgelegt hat. Zudem ist die Governance auf der Metaebene angesiedelt, welche einen Rahmen zur Steuerung und Kontrolle der gesamten Unternehmensprozesse vorgibt. Die sich daraus ergebende Unschärfe und Heterogenität des Begriffs Governance erschwert es, die für eine erfolgreiche Software-Auswahl relevanten Anforderungen zu eruieren. Für viele Unternehmen stellt sich daher zunächst die Frage, wie sie für sich den Begriff Governance definieren und wie ihre Governance-Strukturen in einer Software-Lösung integriert werden können. Der Abschnitt 2.1 hat hierzu bereits eine erste Hilfestellung gegeben, auf der nachfolgend aufgebaut werden kann. Hat das Unternehmen für sich dann den Begriff Governance geklärt und weiß es, wodurch er sich auszeichnet, können erste Anforderungen an eine Software formuliert werden. Bei der Erarbeitung der Risiko- und Compliance-Anforderungen hat sich gezeigt, dass sich viele Governance-Anforderungen bereits aus diesen ableiten lassen. Dies ist darauf zurückzuführen, dass eine enge Verbindung zwischen diesen drei Teilbereichen besteht. So lässt sich die Anforderung»Festlegung eines Risiko-Verantwortlichen«auch auf das Compliance-Management übertragen (Festlegung eines Compliance Verantwortlichen) sowie anschließend auf die Corporate-Governance (Festlegung eines übergeordneten Verantwortlichen, welcher zudem die Unternehmensziele im Blick hat) überführen. Viele Anforderungen aus dem Governance-Bereich sind demnach bereits indirekt bei den Risiko- und Compliance-Anforderungen formuliert. Darüber hinaus ergeben sich aus den Aufgabenbereichen von Governance als auch aus den verschiedenen Frameworks, wie CobiT und ITIL noch weitere konkrete Anforderungen an die Software. Zu den wesentlichen Anforderungen zählen die Festlegung von Verantwortlichkeiten sowie die sich daraus ergebende Erstellung eines Berechtigungskonzepts [Gund10, Lars06]. Dieses beschreibt, wer welche Daten sehen bzw. verändern darf und wie die einzelnen Reports auszusehen haben. Beispielsweise hat der Risiko-Verantwortliche eine wesentlich detailliertere Sicht auf das Risikomanagement, als es eine höher gestellte Führungskraft haben würde. Letztere benötigt eine aggregierte Darstellung der Daten, um auf deren Grundlage Entscheidungen im Sinne der Unternehmensziele treffen zu können. Es ist also notwendig, dass das Reporting von Prozessen, Maßnahmen und Prüfungen anwenderspezifisch (individuell) erfolgt. Damit einhergehend ist auch die anwenderspezifische Darstellung von Informationen mittels Dashboards ausschlaggebend bei der Auswahl einer geeigneten Tool-Unterstützung [Inte]. Bevor jedoch die Verantwortlichkeiten festgelegt werden können, sollte die Software zunächst in der Lage sein, die Organisationsstrukturen des Unternehmens sowie die einzelnen für die Erfüllung von GRC notwendigen Prozesse abzubilden [ISAC12]. Darüber hinaus sollte die Software ein geeignetes Tool zur Steuerung der Unternehmensziele darstellen. Die Steuerung der Einhaltung der Zielvorgaben und das Monitoring der Ziele sind demnach als wichtige Governance-Anforderungen aufzuführen. Zur Umsetzung dieser Anforderungen sollte die Software über ein Steuerungstool, Prozess Monitoring sowie ein geeignetes Maßnahmencontrolling verfügen. Das Maßnahmencontrolling [Inte] könnte derart gestaltet sein, dass zu entsprechenden (externen) Prüfungen nicht nur aufgezeigt wird, welche Maßnahmen zu ergreifen sind, sondern auch wie der Bearbeitungsstand der Maßnahme ausschaut. Als wichtige Anforderungen können hieraus Transparenz, Nachvollziehbarkeit, Wirksamkeit sowie Angemessenheit der Maßnahmen abgeleitet werden. Es sollte demnach die Möglichkeit bestehen, bereits umgesetzte Maßnahmen in einem abschließenden Schritt auch zu dokumentieren (Transparenz und Nachvollziehbarkeit) und zu bewerten (Wirksamkeit und Angemessenheit). Eine weitere Anforderung, welche sich bei den Risikound Compliance-Anforderungen wiederfindet, stellt die Anpassbarkeit der Software an die Bedürfnisse des Unternehmens dar. Zum einen sollte es dem Unternehmen möglich sein, seine Organisationsstruktur (Abteilungen mit jeweiligen Verantwortlichkeiten sowie den Prozessen) zu hinterlegen und zum anderen eigene interne Richtlinien einzupflegen. Diese internen Richtlinien sind gesondert zu den gesetzlichen Anforderungen zu be- 19

20 trachten, welche für alle Unternehmen verpflichtend sind. So sollte es dem System möglich sein, auf das Unternehmen zugeschnittene Maßnahmenkataloge zu generieren und jedem Verantwortlichen die für ihn relevanten Aufgaben aufzuzeigen. Auf diese Weise ist eine langfristige Nutzung der Software gewährleistet. Des Weiteren ist es notwendig, dass die Software ein Dokumenten-Managementsystem beinhaltet, welches die Versionierung und Verwaltung aller relevanten Daten koordiniert. Hierzu zählt die Implementierung eines Dokumentationsprozesses für alle Richtlinien, Handlungsanweisungen und Vorgehensweisen, welcher es ermöglicht, alle Dokumente konsistent zu halten und deren Wiederverwendung zu ermöglichen [PwC12]. Tabelle 3 fasst nochmals alle wichtigen Governance- Anforderungen an die Software zusammen. Governance-Anforderungen Abbilden von Organisationsstrukturen und Prozessen (standort- und länderübergreifend sowie hierarchiebezogen) Festlegung von Verantwortlichkeiten durch Rollen- und Berechtigungskonzept Erstellung anwenderspezifischer Dashboards und Reportings Integriertes Berichtswesen Schnittstellen zum Risiko und Compliance-Management (Erweiterbarkeit) Festlegung und Überwachung der Unternehmensziele Integration von (unternehmensinternen) Governance-Richtlinien und -Praktiken Anpassung an sich ergebende (interne und extern) Veränderungen Maßnahmen-Controlling Dokumenten-Management(-System) Tab. 3: Übersicht der Governance-Anforderungen 3.3 Anforderungen gemäß relevanter Standards Neben den allgemeinen Anforderungen und den Anforderungen, welche sich aus den Aufgaben von GRC ergeben, lassen sich noch weitere Anforderungen an eine Software-Lösung aus bereits bekannten Rahmenwerken wie beispielsweise CobiT und ITIL ableiten. Solche Rahmenwerke bzw. Standards werden vielfach in der Unternehmenspraxis eingesetzt [Krcm10]. Besonders im Rahmen des Risiko- und Compliance-Managements gelten sie als unverzichtbar. Die nachfolgende Abbildung gibt einen Überblick über die verschiedenen Referenzmodelle und Methoden und deren Einsatzhäufigkeit in Unternehmen. Hierbei wurden 450 Unternehmen aus der Branche IT befragt. So zeigt sich, dass der Einsatz von ITIL, CobiT und ISO in den Unternehmen am weitesten verbreitet ist. Johannsen und Goeken stellen zudem fest, dass diese Rahmenwerke vielfach für die Unterstützung bei der Ausgestaltung von IT-Governance, aber auch dem Risiko- und Compliance-Management eingesetzt werden [JoGo06]. Das Framework»CobiT«(Control Objectives for Information and Related Technology) gilt als umfassendes, die Unternehmens-IT adressierendes Rahmenwerk. Erstmals 1993 von der ISACA (Information Systems Audit and Control Accosciation) entwickelt, ist es 2012 in der fünften Version erschienen [Klot14, ISAC12]. Besonders hervorzuheben ist bei dieser Version die Trennung zwischen Governance und Management. Demnach richtet sich nun eine Domain explizit auf die IT-Governance, während die anderen Domains das IT-Management adressieren. Begründet wird dies damit, dass beide Disziplinen mit unterschiedlichen Arten von Aktivitäten verbunden sind, welche dadurch jeweils unterschiedlichen Zwecken dienen und damit einhergehend auch unterschiedliche Organisationsstrukturen erfordern [ISAC12]. Es findet demnach eine Unterscheidung zwischen der strategischen (Governance) und der operativen (Management-)Ebene statt. Die Verfolgung eines ganzheitlichen Ansatzes stellt für CobiT 5 eines der fünf Prinzipien dar. Ziel ist es dabei, alle funktionalen Zuständigkeitsbereiche von Unternehmen und IT lückenlos zu integrieren und sowohl die IT-bezogenen Interessen interner als auch externer Anspruchsgrup-

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand SOLUTION Q_RISKMANAGER 2.0 Das Risikomanagementsystem für den Mittelstand Q4/2012 Q_Riskmanager als webbasierte Lösung des Risikomanagements unter Solvency II Solvency II stellt Unternehmen vor neue Herausforderungen

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis Prof. Alexander Redlein, Dr. Barbara Redlein Begriffe: Compliance und Risikomanagement Compliance = Einhaltung aller externen und internen

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Interne Revision. Bericht gemäß 386 SGB III. Change-Management. Revision SGB III

Interne Revision. Bericht gemäß 386 SGB III. Change-Management. Revision SGB III Revision SGB III Bericht gemäß 386 SGB III Change-Management Inhaltsverzeichnis 1 Revisionsauftrag... 1 2 Zusammenfassung... 1 3 Revisionsergebnisse... 2 3.1 Prozessgestaltung... 2 3.1.1 Prozessmodell...

Mehr

Customer COE Best Practices SAP Solution Manager. Topic. Kundenempfehlung: Einführung Prozessmanagement für FB und IT

Customer COE Best Practices SAP Solution Manager. Topic. Kundenempfehlung: Einführung Prozessmanagement für FB und IT Topic Das Prozessmanagement als ganzheitlicher Ansatz zur Identifikation, Gestaltung, Optimierung, Dokumentation und Standardisierung für eine zielorientierte Steuerung von Geschäftsprozessen Customer

Mehr

(Thema) Realisierung eines kennzahlenbasierten Steuerungskonzepts für das Change Management. Bachelorarbeit

(Thema) Realisierung eines kennzahlenbasierten Steuerungskonzepts für das Change Management. Bachelorarbeit (Thema) Realisierung eines kennzahlenbasierten Steuerungskonzepts für das Change Management Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS Compliance Cert-IT GmbH Am Bonner Bogen 6 53227 Bonn fon: +49(0)228 688 228 0 fax: +49(0)228 688 228 29 Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11. Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Risk Management. Überblick RIM 1.5.100

Risk Management. Überblick RIM 1.5.100 Risk Management Überblick - 1 - OMNITRACKER Risk Management im Überblick Effizientes Risikomanagement mit dem OMNITRACKER Risk Management Ein Werkzeug zur Abdeckung des gesamten Prozesses von der Risikoerfassung

Mehr

SERVIEW: ITIL und Compliance

SERVIEW: ITIL und Compliance SERVIEW: ITIL und Compliance Seite 1 /7 ITIL und Compliance Definition des Begriffs Compliance (Quelle: Wikipedia): In der betriebswirtschaftlichen Fachsprache wird der Begriff Compliance verwendet, um

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de Neue Produkte 2010 Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 Ploetz + Zeller GmbH. Symbio ist eine eingetragene Marke der Ploetz + Zeller GmbH. Alle anderen Marken

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

Raber+Märcker Business Intelligence Lösungen und Leistungen

Raber+Märcker Business Intelligence Lösungen und Leistungen Business Intelligence Raber+Märcker Business Intelligence Lösungen und Leistungen www.raber-maercker.de 2 LEISTUNGEN Business Intelligence Beratungsleistung Die Raber+Märcker Business Intelligence Beratungsleistung

Mehr

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Deutsche Übersetzung. Im Zweifelsfall gilt das englische Original Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Ausgabe 2012 Verpflichtung gegenüber der Gesellschaft

Mehr

Chancen und Risiken bei der Implementierung eines Risikomanagementsystems

Chancen und Risiken bei der Implementierung eines Risikomanagementsystems Chancen und Risiken bei der Implementierung eines Risikomanagementsystems Samuel Brandstätter 23.09.2013 2013 avedos business solutions gmbh Seite 1 Agenda Ausgangssituationen Charakteristik von GRC Prozessen

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG Welches sind die 3 Top-Risiken Ihrer Unternehmung? «Risk

Mehr

Prozesse des Risikomanagements

Prozesse des Risikomanagements RESSOURCEN NUTZEN WERTE SCHAFFEN Prozesse des Risikomanagements Produkt- und Projektrisiken mit PLM managen Christian Kind, Pumacy Technologies AG IHK + TU Berlin Prozessorientiertes Risikomanagement 06.11.2014

Mehr

Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung

Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung Wirtschafts- und Sozialwissenschaftliche Fakultät der Friedrich-Alexander-Universität Erlangen-Nürnberg Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung (Wirtschaftlichkeit von IT-Risk-Management-Lösungen

Mehr

Prozessmanagement mit ViFlow in der RWE Systems Sparte IT

Prozessmanagement mit ViFlow in der RWE Systems Sparte IT Prozessmanagement mit ViFlow in der RWE Systems Sparte IT RWE Systems AG Erfolgreiche Unternehmen arbeiten nach einem grundlegenden Prinzip: "Wir machen nur das, wovon wir wirklich etwas verstehen. Dort,

Mehr

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012 ZUVERLÄSSIGE UND EFFIZIENTE ZERTIFIZIERUNGEN: TOOLUNTERSTÜTZES, INTEGRIERTES MANAGEMENTSYSTEM ZUR COMPLIANCE MIT REGULARIEN IM QUALITÄTS- UND RISIKOMANAGEMENT 4. PQM-Dialog: Qualitätszertifizierungen Vorgehen

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

IT-Risiko- Management mit System

IT-Risiko- Management mit System Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr

Angebot MS KMU-Dienste Kurzbeschreibung Bedürfnisse des Kunden Dienstleistungen MS KMU-Dienste

Angebot MS KMU-Dienste Kurzbeschreibung Bedürfnisse des Kunden Dienstleistungen MS KMU-Dienste September 2015 / 1 1. Beratung Management- Systeme Prozess-Management Identifizieren, Gestalten, Dokumentieren, Implementieren, Steuern und Verbessern der Geschäftsprozesse Klarheit über eigene Prozesse

Mehr

Globaler Template-Ansatz zur Vereinheitlichung der Personalbeschaffung über SAP E-Recruiting in der BOSCH-Gruppe

Globaler Template-Ansatz zur Vereinheitlichung der Personalbeschaffung über SAP E-Recruiting in der BOSCH-Gruppe Im Überblick Globaler Template-Ansatz zur Vereinheitlichung der Personalbeschaffung über SAP E-Recruiting in der BOSCH-Gruppe Global Template in der BOSCH-Gruppe Ein globaler Prozess unter Berücksichtigung

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Strategische Effektivität und Effizienz mitcobitjtil&co Mit einem Praxisbericht von Daniel Just und Farsin Tami dpunkt.verlag Inhaltsverzeichnis

Mehr

The Business IT Alignment Company

The Business IT Alignment Company Image The Business IT Alignment Company Die Serview ist das führende Beratungs- und Trainingsunternehmen im deutschsprachigen Raum für Business IT Alignment. Die Serview Anfang 2002 gegründet, betreuen

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Balanced Scorecard Strategien umsetzen. CP-BSC ist ein Modul der Corporate Planning Suite.

Balanced Scorecard Strategien umsetzen. CP-BSC ist ein Modul der Corporate Planning Suite. Balanced Scorecard Strategien umsetzen CP-BSC ist ein Modul der Corporate Planning Suite. UnternehMenSSteUerUng Mit ViSiOn UnD StrAtegie Strategien umsetzen. Jedes Unternehmen hat strategische Ziele und

Mehr

Zusammenfassung der Umfrageergebnisse Customer Intelligence in Unternehmen 23.12.2010

Zusammenfassung der Umfrageergebnisse Customer Intelligence in Unternehmen 23.12.2010 Zusammenfassung der Umfrageergebnisse Customer Intelligence in Unternehmen 23.12.2010 Autoren: Alexander Schramm Marcus Mertens MuniConS GmbH Einleitung Unternehmen verfügen heute über viele wichtige Informationen

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT 5 2.2 Trends und Treiber 7 2.2.1 Wertbeitrag von IT 7 2.2.2 IT-Business-Alignment 12 2.2.3 CompÜance 14 2.2.4

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl.

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl. Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT von Markus Gaulke 2., akt. u. überarb. Aufl. Praxiswissen COBIT Gaulke schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Compliance Management

Compliance Management Compliance Management Fernwärmetage 2013 13.03.2013 RA Dr. Gregor Schett, LL.M. Mag. Christoph Kochauf Fellner Wratzfeld & Partner Rechtsanwälte GmbH A-1010 Wien, Schottenring 12, T: +43 (1) 537 70 F:

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

Kritische Erfolgsfaktoren für den Einsatz von Softwaretools im IT-Service Management nach ITIL

Kritische Erfolgsfaktoren für den Einsatz von Softwaretools im IT-Service Management nach ITIL Kritische Erfolgsfaktoren für den Einsatz von Softwaretools im IT-Service Management nach ITIL Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Risikomanagement Risiken im griff. CP-Risk ist ein Modul der Corporate Planning suite.

Risikomanagement Risiken im griff. CP-Risk ist ein Modul der Corporate Planning suite. Risikomanagement Risiken im griff CP-Risk ist ein Modul der Corporate Planning suite. IdentIfIkatIon, BeweRtung, analyse und kontrolle von RIsIken Risikomanagement mit System. Zum Risikomanagement gehört

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Compliance Monitoring mit PROTECHT.ERM

Compliance Monitoring mit PROTECHT.ERM covalgo consulting GmbH Operngasse 17-21 1040 Wien, Austria www.covalgo.at Compliance Monitoring mit PROTECHT.ERM Autor: DI Mag. Martin Lachkovics, Dr. Gerd Nanz Datum: 20. Oktober 2014, 29. April 2015

Mehr

IT-Governance: Modell und ausgewählte Beispiele für die Umsetzung

IT-Governance: Modell und ausgewählte Beispiele für die Umsetzung IT-Governance: Modell und ausgewählte Beispiele für die Umsetzung Dr. Michael Rohloff Siemens AG Corporate Information and Operations CIO Strategy, Planning and Controlling Südallee 1, 85356 München-Flughafen

Mehr

Sabine Illetschko Roman Käfer Klaus Spatzierer. Risikomanagement. Praxisleitfaden zur integrativen Umsetzung

Sabine Illetschko Roman Käfer Klaus Spatzierer. Risikomanagement. Praxisleitfaden zur integrativen Umsetzung Sabine Illetschko Roman Käfer Klaus Spatzierer Risikomanagement Praxisleitfaden zur integrativen Umsetzung Inhalt 1 Zum Inhalt........................................... 1 2 Basiswissen.........................................

Mehr

Referenzmodell für die strategische Ausrichtung eines internen IT-Dienstleisters am Business Value

Referenzmodell für die strategische Ausrichtung eines internen IT-Dienstleisters am Business Value Referenzmodell für die strategische Ausrichtung eines internen IT-Dienstleisters am Business Value Markus Neumann neumann@iwi.uni-hannover.de Doktoranden-Kolloquium Südost-Niedersachsen 16.01.2009 17.01.2009

Mehr

ZUR BEDEUTUNG VON TRENDS IM INNOVATIONSMANAGEMENT

ZUR BEDEUTUNG VON TRENDS IM INNOVATIONSMANAGEMENT April 2013 ZUR BEDEUTUNG VON TRENDS IM INNOVATIONSMANAGEMENT von Maren Weiß & Prof. Dr. Michael Durst Welche Rolle spielen Trends in den Frühen Phasen im Innovationsmanagement? Wie setzen Unternehmen Trends

Mehr

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance Seite 1 Inhaltsçbersicht 01 IT-Governance Strategische Unternehmensziele durch IT-Compliance optimal unterstçtzen 01200 IT Governance und IT Compliance die wichtigsten GW Normen und Regelwerke 01250 COBIT

Mehr

System-Tool MaRisk Light

System-Tool MaRisk Light Unser Angebot System-Tool MaRisk Light Von der Strategie bis zum Risikolimitsystem! Das System-Tool MaRisk Light umfasst die Module Risikoreport, Adressen- Risikomanagement, Interne Revision und IKS, Marktpreisrisikomanagement,

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Nachhaltiges Compliance Management in Kombination mit ERM und IKS

Nachhaltiges Compliance Management in Kombination mit ERM und IKS Haftungsrisiken Unternehmensleitung! Nachhaltiges Compliance Management in Kombination mit ERM und IKS 2015 avedos business solutions gmbh Seite 1 Unsere Leidenschaft ist GRC Innovativ seit 2005 100% Fokus

Mehr

Softwarelizenzmanagement

Softwarelizenzmanagement IT ADVISORY Softwarelizenzmanagement Herausforderungen und Chancen Juni 2009 ADVISORY Agenda 1 Marktanalyse aus Sicht der Kunden 2 Marktanalyse aus Sicht der Hersteller 3 Wie können Sie die Herausforderungen

Mehr