IT Compliance Management

Transkript

1 Aktuelle Informationen zur 8. EU-Richtlinie und deren Auswirkungen auf Ihre IT! IT Compliance Management HIGHLIGHTS: Aktuelle nationale und internationale rechtliche Anforderungen Fokus: Die 8. EU-Richtlinie ( EuroSOX ) Interne Kontrollsysteme (IKS) CobiT 4.1 als Modell für eine wirksame Steuerung der IT Prozess-Dokumentation in der IT Erfolgsfaktoren & Stolpersteine bei der Dokumentation von IT-Kontrollen Identity & Access Management: Schlüsselfaktoren für IT-Compliance Besonderheiten beim Outsourcing von IT-Dienstleistungen Einsatz von IT-Tools zur Erfüllung der IT-Compliance bzw. SOX-Anforderungen IHR PLUS: Praxisworkshops: IT Compliance Management bei der Telekom Austria AG und der SAP Österreich GmbH Mai 2007 Fleming s Hotel, Wien IIR IHRE EXPERTEN U.A.: Dipl.-Kfm. Ralph Grunge, CISA, ehemals KPMG Alpen Treuhand Wien, jetzt freiberuflicher SAP Compliance Experte Mag. Jimmy Heschl, Senior Manager, IT-Advisory, KPMG Austria GmbH Mag. Günther Reimoser, Geschäftsführer, Leiter Technology & Security Risk Services, Ernst & Young Wirtschaftsprüfungs- und Steuerberatungs GmbH Dr. Christoph Römer, Geschäftsführer und Partner, Ventum Consulting GmbH, Österreich Mag. Peter Stransky, Rechnungswesen, Leiter SOA-IKS Competence Center, Telekom Austria AG Mag. Walter Tinkl, Risk Manager, SAP Österreich GmbH

2 1. Konferenztag, 22. Mai Herzlich Willkommen! Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen 8.45 Begrüßung durch IIR und durch den Vorsitzenden Vorsitz: Dipl.-Kfm. Ralph Grunge, CISA, ehemals KPMG Alpen Treuhand Wien, jetzt freiberuflicher SAP Compliance Experte 9.00 IT Compliance Management als Herausforderung Ziele, Bedeutung und Herausforderungen der aktuellen Compliance-Anforderungen Was bedeutet IT-Compliance für den IT-Verantwortlichen? Compliance-Management: Balance zwischen Kontrolle und Performance Chancen und Risiken von Compliance Haftungsrisiken für Vorstandsvorsitzenden, Finanzvorstand und IT-Verantwortliche aufgrund der gesetzlichen Regelungen im Compliance Umfeld 9.30 Aktuelle nationale und internationale rechtliche Anforderungen Welche gültigen Standards sind in welchem Ausmaß zu erfüllen? IT in der Wirtschaftsprüfung Aspekte der 8. EU-Richtlinie zur Abschlussprüfung («EuroSOX») Weitere IT-rechtliche Rahmenbedingungen Angefragt: Mag. Ing. Markus Oman, Geschäftsführer, Allgemein beeideter und gerichtlich zertifizierter Sachverständiger, Deloitte Wirtschaftsprüfungs GmbH Pause mit Kaffee und Tee FOKUS: 8. EU Richtlinie und SOX mit Praxisbeispiel einer erfolgreichen Umsetzung Was fordert die 8. EU-Richtlinie? Diskussionsstand innerhalb der EU Wie und warum betrifft EuroSOX europäische Unternehmen? Interne Kontrollen & IT Internes Kontrollsystem (IKS): Dokumentationsvorschriften Vergleich mit den gesetzlichen Anforderungen des Sarbanes Oxley Acts - Gesamtanforderungskatalog des Sarabanes-Oxley Act - Einordnung der Section 404: Prüfung und Dokumentation des internen Kontrollsystems (Management Assessment of Internal Controls) - Abgrenzung zur Section 301: Internes Whistleblowing - Abgrenzung zur Section 302: Eidesstattliche Erklärung des CEO und CFO über die Richtigkeit veröffentlichter Finanzdaten Anforderungen des PCAOB (Public Company Accounting Oversight Board): Welche Anforderungen ergeben sich aus den Regelungen an die IT? - Definition eines Internen Kontrollsystems - Überschneidungen und Unterschiede zum IDW-Prüfungsstandards zur Prüfung des Internen Kontrollsystems - Interne Kontrollen und Bezug zur IT Auswirkungen der Regelungen auf die IT-Systeme Praxisbeispiel einer erfolgreichen Umsetzung Gemeinsames Mittagessen INTENSIVWORKSHOP: Interne Kontrollsysteme (IKS): Worauf ist zu achten? Aufbau & Dokumentation eines wirksamen internen Kontrollsystems der IT Definition eines Internen Kontrollsystems Regelungen des Sarbanes-Oxley-Act für das Interne Kontrollsystem Anforderungen an das Interne Kontrollsystem jenseits von SOX COSO als Rahmenwerk zur Unterstützung bei dem Aufbau einer Internen Kontrollstruktur COSO & CobiT: Modelle zum Aufbau eines effizienten Internen Kontrollsystems FOKUS: CobiT 4.1 als Modell für eine wirksame Steuerung der IT IT-Governance und IT-Management im Überblick Einführung in das CobiT-Framework Prozessmodellierung mit CobiT Anwendbarkeit von CobiT jenseits der IT-Compliance Vorteile der Verwendung von CobiT als Modell für IT-Governance Integration von Best Practices (ValIT, ITIL, ISO17799/20000) in CobiT Erfolgsfaktoren für einen erfolgreichen Einsatz und eine optimale Anwendung von CobiT Künftige Entwicklungen von CobiT Mag. Jimmy Heschl, Senior Manager, IT-Advisory, KPMG Austria GmbH SOX im Mobilfunk Erfahrungsbericht einer erfolgreichen SOX Implementierung Der Scoping Prozess welche Systeme und Prozesse sind SOX relevant, welche nicht? Von generischen Kontrollzielen zu spezifischen Kontrollen COBIT als Ausgangspunkt und Leitfaden User Defined Applications (UDAs) IT Compliance Anforderungen abseits der Kernsysteme Baselining und interne Tests des Kontrollsystems eine Herausforderung für IT und Geschäftsbereich Abhängigkeiten aufgrund von Shared Service Centers innerhalb des Konzerns SOX als Vehikel für nachhaltige Prozessverbesserung wie kann man Aufwand und Nutzen in sinnvollem Gleichgewicht halten? Dr. Christoph Römer, Geschäftsführer und Partner, Ventum Consulting GmbH, Österreich Pause mit Kaffee und Tee PRAXISWORKSHOP: IT Compliance Management bei der Telekom Austria AG Überblick zu SOX-Anforderungen an die IT-Prozesse - SOA - COSO - CobiT Projektorganisation - SOA Verantwortlichkeiten - SOA Admin vs. top down Ansatz Arbeits- und Kostentreiber IT-Komplexität - Generische Kontrollbeschreibung vs. Kontrollattribute - Risikoansatz - Clusterung - Teststruktur - Praxisbeispiel Optimierungspotentiale aus PCAOB und SEC Guidances Ausblick auf EURO SOX - lessons learnt Mag. Peter Stransky, Rechnungswesen, Leiter SOA-IKS Competence Center, Telekom Austria AG Ende des ersten Konferenztages

3 2. Konferenztag, 23. Mai Begrüßung durch IIR und durch den Vorsitzenden Vorsitz: Dipl.-Kfm. Ralph Grunge, CISA, ehemals KPMG Alpen Treuhand Wien, jetzt freiberuflicher SAP Compliance Experte 9.00 Prozess-Dokumentation in der IT Formelle und inhaltliche Mindestanforderungen an die Prozess-Dokumentation - Was sind die wesentlichen Inhalte? - Detaillierungsgrad bestimmen Allgemeine IT-Prozesse: Prozess-Dokumentation durch die IT-Abteilung IT-gestützte Geschäftsprozesse: Prozess-Dokumentation durch die Fachabteilung IT-Kontrollen: Integration von IT-Kontrollen in den Sarbanes-Oxley Act-Prozess Dokumentation der Internen Kontrollen und geeignete Abbildung in der IT 9.30 Erfolgsfaktoren & Stolpersteine bei der Dokumentation von IT-Kontrollen Wichtige IT-Kontrollen im Überblick - IT General Controls: Allgemeine IT-Kontrollen - IT Application Controls: IT-Kontrollen innerhalb rechnungslegungsrelevanter Geschäftsprozesse Stolpersteine bei der Dokumentation von IT-Kontrollen Integration der Dokumentation der IT-Kontrollen in die Unternehmens-Kontrolldokumentation Nutzung und Verwendung bestehender ITKontroll- Dokumentationen für SOX 404-Zwecke Testing, Validierung und Dokumentation der Wirksamkeit der IT-Kontrollen Control Self Assessment durch das Management Ziele des Testings: Prüfung der IT-Kontrollen und Erstellung des Internal Control Reports Rolle und Aufgaben der Internen Revision im Rahmen des Testings Control Self Assessment durch das Management Bestimmung des Testumfangs und der Testintervalle Analyse und Dokumentation des Designs der IT-Kontrollen Prüfung und Dokumentation der Wirksamkeit der IT-Kontrollen Toleranzgrenzen für Fehler beim Testing Auswertung der Testergebnisse Stolpersteine beim Testing und Lösungsansätze Betrug und Interne Kontrollsysteme: - IT-Sicherheitsmechanismen einrichten - Anti Fraud-Programme einrichten - Rolle des Managements, der Internen Revision und des Wirtschaftsprüfers Pause mit Kaffee und Tee Compliance Risken vermindern durch Identity Management Lösungen Umgang mit Identitäten Speicherung von Zugriffen auf sämtliche Prozessabläufe, insbesondere finanzkritische Prozesse Lückenlose Protokollierung und revisionssichere Dokumentation IT-Tools zur Verbesserung der Automation im Bereich der Compliance Effizienzsteigerung in IT- und Geschäftsprozessen Aufzeigen der Einbettung der revisionssicheren Auditierung durch IAM in ein ganzheitliches Konzept von Informationssicherheit Praxisbeispiele Ing. Clemens Peyerl, MSc, CISA, CISSP, Senior Sales Consultant Oracle Identity & Access Management, Oracle Austria GmbH Besonderheiten beim Outsourcing von IT-Dienstleistungen Definition, Formen und Umfang von IT-Outsourcing Anforderungen des PCAOB und der Kammer der Wirtschaftstreuhänder in Bezug auf Outsourcing - Anforderungen an Dokumentation und Testing von IT-Kontrollen beim Outsourcer - Aufgaben des Unternehmens, der Internen Revision und des Wirtschaftsprüfers Prüfungsstandards im Überblick SAS70 - Typen der SAS 70-Prüfung - Beteiligte in einer SAS 70-Prüfung - Festlegung der Prüfungsperioden und des Zeitplans - Bestimmung des Prüfungsumfangs - Prüfung und Dokumentation der Verfahren und IT-Kontrollen - Der SAS70 Bericht Neues Fachgutachten in Österreich Verwendung einer SAS 70-Zertifizierung für die SOX-Anforderungen Mag. Günther Reimoser, Geschäftsführer, Leiter Technology & Security Risk Services, Ernst & Young Wirtschaftsprüfungsgesellschaft mbh Gemeinsames Mittagessen Einsatz von IT-Tools zur Erfüllung der IT-Compliance bzw. SOX-Anforderungen Wann sollte der SOX-Prozess toolgestützt erfolgen? Voraussetzung für den Einsatz eines IT-Tools Fachliche und funktionale Anforderungen Technische Anforderungen am Beispiel MS Accelerator und SAP Praxisrelevante Fragestellungen bei der Implementierung und dem Roll-Out - Minimallösung zur Erfüllung SOX 404 vs. Gesamtlösung für das Risikomanagement - Weltweite Installation des SOX 404-Tools und Integration in die bestehende IT-Architektur - Wartbarkeit des SOX 404-Tools - Gewährleistung der Revisionssicherheit Marktüberblick über derzeitige Lösungsanbieter: SAP, IDS Scheer, Microsoft, SAS, IBM etc. Wichtige Bewertungskriterien bei der Auswahl SAP-Lösungsangebot für Governance Risk Compliance Management Berechtigungskonzept Rollenkonzept Prozesskontrolle Risikomanagement Global Trade Service Demo-Beispiele Mag. Günther Zillner, Sales Executive, SAP Österreich GmbH Pause mit Kaffee und Tee PRAXISWORKSHOP: Compliance mit dem Sarbanes-Oxley-Act (SOX) bei der SAP Österreich GmbH Mag. Walter Tinkl, Risk Manager, SAP Österreich GmbH Ende der Fachkonferenz

4 Für wen ist diese Fachkonferenz interessant? CEO CFO CIO Leiter Controlling Leiter Risikomanagement IT Compliance Leiter IT-Revision Interne Revision Leiter IT/EDV IT-Projektleitung IT-Koordination IT-Sicherheit Weiters: IT-Dienstleister IT-Berater Wirtschaftsprüfer My IIR ein neuer e-service speziell für unsere Kunden und Interessenten! ALLE VORTEILE AUF EINEN BLICK: Persönliche Merkliste mit allen von Ihnen ausgewählten Veranstaltungen und Informationen Benachrichtigungs-Service über bevorstehende IIR-Veranstaltungen per Formulare auf der Website werden automatisch mit Ihren Daten vorausgefüllt Melden Sie sich heute noch an: Einfache Registrierung auf Ihr IIR-Team

5 Auf dieser Fachkonferenz präsentiert sich: Ventum Consulting ist ein unabhängiger und international tätiger Management- und Technologieberatungs-Dienstleister mit Kompetenzschwerpunkten in den Bereichen IT-Service Management und IT-Compliance Management. Aus den Standorten in Wien und München führen unsere zertifizierten Spezialisten (CISAs, ITIL/ITSM-SM) Beratungsund IT-Audit Projekte für Kunden in Deutschland, Österreich, der Schweiz und den CEE Ländern durch. Ventum Consulting GmbH Ihr Ansprechpartner: Dr. Christoph Römer Partner von Ventum Consulting GmbH, Österreich Büro Wien Garnisongasse 11 A-1090 Wien Tel: Sponsoring und Ausstellung Ergänzen auch Sie Ihren Marketing-Mix durch den gezielten Einsatz eines individuell auf Ihr Unternehmen zugeschnittenen Präsentationskonzeptes. Vermeiden Sie Streuverluste. Stellen Sie Ihre Produkte und Dienstleistungen im Rahmen dieser Veranstaltung vor. Es berät Sie gerne: Mag. (FH) Bettina Fischbacher Sales Manager Tel.: + 43 (1) Fax: + 43 (1) bettina.fischbacher@iir.at

6 Anmeldung IT Compliance Management Institute for International Research (I.I.R.) GmbH Linke Wienzeile 234, A-1150 Wien Homepage Österreichische Post AG Info.Mail Entgelt bezahlt Adresse IIR Linke Wienzeile 234, 1150 Wien Stimmen Ihre Ansprechpartner und Adresse? Wenn nicht, rufen Sie bitte Tel.: +43 (1) oder mailen Sie an: ich nehme an der Fachkonferenz IT Compliance Management teil. JA, ich interessiere mich, als ReferentIn aufzutreten. Bitte zur schnelleren Bearbeitung vollständig ausfüllen. 1. TeilnehmerIn: Nachname Vorname 3. TeilnehmerIn: Position/Abt. Tel.* Fax* Hotline +43 (1) TeilnehmerIn: Nachname Vorname Position/Abt. Tel.* Fax* Fax +43 (1) S3121 Nachname Vorname Tel.* Position/Abt. Fax* Teilnahmegebühr Die Teilnahmegebühr beträgt einschließlich Dokumentation, Mittagessen, Kaffeepausen und Getränken pro Person Fachkonferenz Bei Anmeldungen bis 27 April ,- Bei Anmeldungen bis 22. Mai ,- +20% MwSt. Nutzen Sie unser attraktives Rabattsystem: bei 2 Anmeldungen erhält ein Teilnehmer 10 % Rabatt bzw. bei 3 Anmeldungen erhält ein Teilnehmer 20 % Rabatt bzw. bei 4 Anmeldungen erhält ein Teilnehmer 30 % Rabatt Sie erhalten nach Eingang der Anmeldung Ihre Anmeldebestätigung und Ihre Buchhaltungsabteilung erhält die Rechnung. Bitte begleichen Sie den Rechnungsbetrag vor dem Veranstaltungstermin. Einlass kann nur gewährt werden, wenn die Zahlung bei IIR eingegangen ist oder am Veranstaltungstag erfolgt. Etwaige Programmänderungen aus dringendem Anlass behält sich der Veranstalter vor. QUALITÄTSGARANTIE: Ihre Zufriedenheit ist uns wichtig: Stellen Sie am ersten Konferenztag bis Uhr vormittags fest, dass die gebuchte Veranstaltung nicht das Richtige für Sie ist, so können Sie den Besuch abbrechen und statt dessen eine andere gleichwertige Veranstaltung besuchen. RÜCKTRITT: Bitte haben Sie Verständnis dafür, dass wir Ihnen bei einem Rücktritt von Ihrer Anmeldung innerhalb von 2 Wochen vor der Veranstaltung die volle Tagungsgebühr verrechnen müssen. Eine Umbuchung auf eine andere Veranstaltung oder die Entsendung eines Vertreters zur ursprünglich gebuchten Veranstaltung ist jedoch möglich. 20% Bildungsfreibetrag Seit 1. Jänner 2002 besteht die Möglichkeit eines 20%igen Bildungsfreibetrages. Bitte informieren Sie sich vor der Veranstaltung bei Ihrem Steuerberater. Servicehotlines Anmeldung: Anmeldehotline Tel.: +43 (1) Kundenservice: Anna Essig Tel.: +43 (1) Inhalt & Konzeption: Mag. Nora Huber Tel.: +43 (1) Vermarktung: Mag. Michael Brunner Tel.: +43 (1) register@iir.at anna.essig@iir.at nora.huber@iir.at michael.brunner@iir.at Ja, ich möchte Informationen aus dem Themenbereich IT/Telekom per erhalten TeilnehmerIn 1 TeilnehmerIn 2 TeilnehmerIn 3 Firma Straße / Postfach Termine und Ort Fachkonferenz: IT Compliance Management Mai 2007 Fleming's Hotel Wien-Westbahnhof 1070 Wien, Neubaugürtel 26-28, Tel.: +43 (1) , Fax: +43 (1) Zimmerreservierung PLZ Ort Ansprechperson bei Rückfragen zu Ihrer Anmeldung: Vorname Nachname Position Abteilung Tel.* Fax* Wer ist in Ihrem Unternehmen für die Genehmigung Ihrer Teilnahme zuständig? Nachname Vorname Tel.* Position/Abt. Fax* Datum Unterschrift * Bitte geben Sie Tel./Fax nur bekannt, wenn Sie an weiteren Informationen über unsere Produkte interessiert sind. Für Veranstaltungsteilnehmer besteht die Möglichkeit, im Hotel Zimmer zu günstigen IIR-Konditionen zu mieten. Bitte nehmen Sie die Reservierung direkt beim Tagungshotel unter Berufung auf die IIR-Veranstaltung IT Compliance Management vor. DVR Institute for International Research (I.I.R.) GmbH - Wien - FN 48880h des HG Wien