IT-Revisionsplanung und -Durchführung

Größe: px
Ab Seite anzeigen:

Download "IT-Revisionsplanung und -Durchführung"

Transkript

1 IT-Revisionsplanung und - Ein Praxisbericht Bild mit Bezug zu Kunde oder Inhalt einfügen 'Einfügen -> Grafik -> Aus Datei' ISACA After Hours Seminar 2008 Zürich, Autor: Christian Balmer -Adresse: Höhe 13.3 cm Breite 14.4 cm Agenda Das Umfeld Unternehmen, IT-Führungsmodell, IT-Landschaft, Revisionsstandards Risikoorientierte (Mehrjahres-)Prüfungsplanung Abstimmung von Stakeholderansprüchen, Compliancevorgaben und Prüfbereichen Prüfungsvorbereitung Identifikation relevanter Prüffelder Prüfungsdurchführung Methodik, Dokumentation und Tools Berichterstattung Empfängergerechte Aufbereitung und Auswertung, Abnahmeinstanzen, vereinbarte Massnahmen Pendenzenverwaltung und Nachschauprüfung (Follow-up) Massnahmentracking Projektbegleitung Audit Agreement Prüfung von Standardsoftware/-lösungen Besonderheiten am Beispiel SAP Ausblick Bankendienstleistungszentrum Die Rolle als Konzernrevision versus Interne Revision der Tochter (Provider) 2 ISACA After Hours Semiar - IT-Revisionsplanung & 1

2 Die Zürcher Kantonalbank (ZKB) Führende Finanzdienstleisterin im Wirtschaftsraum Zürich Die ZKB ist eine grosse Schweizer Bank, aber keine Schweizer Grossbank Unternehmensgründung im Jahr 1870 Die Rechtsform entspricht einer selbstständigen öffentlich-rechtlichen Anstalt gemäss kantonalem Recht, mit dem Zweck der Erfüllung des Leistungsauftrages (Versorgung, Unterstützung, Nachhaltigkeit) des Kantons Zürich Die Kundensegmente bilden Privatkunden, Firmenkunden und Private Banking Kunden Das Kerngeschäft umfasst Finanzierungen, Immobilien, Anlage-, Vorsorge- und Vermögens-verwaltungsgeschäft, Handel, Kapitalmarkt, Zahlungsverkehr und Wertschriftenabwicklung Standard & Poor bewertet die ZKB mit «AAA» Staatsgarantie Ca. 4'400 Angestellte (FTE) 104 Niederlassungen im Kanton Zürich Stark positive Gewinnentwicklung seit 2001, Eigenkapitalrentabilität 12,5% ( ) 3 ISACA After Hours Semiar - IT-Revisionsplanung & Das IT-Führungsmodell der ZKB Vergangenheit Logistik Privatkunden Firmenkunden Investment & Privatbanking Finanz Gesamtleitung IT-Steuerungsausschuss Rapportierung Priorisierung Freigabe ZKB L P F I Z V Rapportierung Anforderungen Business Technology Organisation (BTO) Rapportierung Beauftragung Informatik Überwachung, Beurteilung IT-Controlling 4 ISACA After Hours Semiar - IT-Revisionsplanung & 2

3 Die IT-Landschaft der ZKB - "Big Picture" Laufendes Programm Übersicht über das Modell Geplantes Programm Management - Prozesse Vertriebsmanagement Produktemanagement Kommunikation Personal Finanzmanagement (inkl. Risikosteuerung) Compliance Vertrieb Verarbeitung Geldver kehr Kundenberatung Zahlungsverkehr Bestandesführung Bestandesführung Geldverkehr unbar Geld Karten Akquisition Mainframe Kundenbetreuung Finanzierungen & Immobilien Kundenberatung Bestandesführung Bestandesführung Bestandesführung Finanzierungen Finanzierungen Sicherheiten Grundstücke/Immobilien Geschäfts - verw al tung Service / Basisdienstleistungen Anlagen, Vermögensverwaltung und Handel WSA Kundenberatung Anlagen & VV Handel Asset Management Wertschriften - abwicklung Bestandesführung Wertschriften Support - Prozesse ASD Informatik Dokumenten - Management Internes Reporting/ Daten auswerten Referenz - Stammdaten Auftrags -/ Produktionssteuerung Informations - sicherheit Pricing & Verrechnung Kundenreporting Partner - verwaltung Finanzinformationen Mainframe CIF 5 ISACA After Hours Semiar - IT-Revisionsplanung & Anwendung von Revisionsstandards sowie Best Practices Audit Informatik IIA-Standards (SVIR) Prüfungsstandards COSO Framework für Risikoanalyse Basel II IIR (Deutsches Institut für Interne Revision e. V.) etc. CISA Review Manual/ ISACA Standards CobiT 3 / 4.1 ISO (Service Management), ITIL ISO (IT Security) BSI IT-Grundschutz Produktspezifische Leitfäden (SAP, AIX, Oracle) 6 ISACA After Hours Semiar - IT-Revisionsplanung & 3

4 These 1 Mit den Berufsbildern CISA und CISM sowie dem international anerkannten Rahmenwerk CobiT verfügt der IT-Revisor über einen Rucksack, der ihn für alle Informatik- Revisionsaufgaben rüstet. 7 ISACA After Hours Semiar - IT-Revisionsplanung & Die Aufgaben der Informatik-Revision Sie analysiert und beurteilt die Zweckmässigkeit der IT-Risikosteuerung sowie die Angemessenheit der Aufbau- und Ablauforganisation der Informatik und der in den Geschäftsprozessen eingesetzten automatisierten Schlüsselkontrollen in Bezug auf effiziente Zielerreichung der Unternehmung. Sie prüft, ob die Kontrollen der Informationssysteme den in Gesetzen, Verordnungen, Statuten, Reglementen, Verträgen sowie internen Weisungen und Richtlinien festgelegten Normen sowie den Geschäftsansprüchen entsprechen. Sie berät und unterstützt die verantwortlichen Fachstellen und das IT- Engineering bei der Planung, Beschaffung, Entwicklung oder Änderung und Implementierung der Kontrollen in Informationssystemen. Sie stellt der Fachrevision die für ihre Prüfungen notwendigen Auswertungen zur Verfügung. 8 ISACA After Hours Semiar - IT-Revisionsplanung & 4

5 Funktionendiagramm Audit Informatik der ZKB abgeleitet aus dem CISA-Berufsbild Dotation: 8 FTE Datenmanagement Support PC Reporting Daten und Support Abklärungen Auswertungen, Support Spezialprüfungen, Follow-up Projektbegleitungen Leitung AI disziplinarische Führung Prüf-/Ressourcenplanung Gesamtrisikobeurteilung Qualitätsmanagement Applikationen/Schnittstellen (Geschäftsanwendungen) System-/Prozessprüfungen Einhalteprüfungen, Follow-up Projektbegleitungen Standardlösungen Avaloq Standardlösungen SAP Individuallösungen make/buy Basistechnologie zentral/dezentral IT-Infrastruktur (Hardware, Netzwerk, Web) System-/Prozessprüfungen Sicherheitsprüfungen, Follow-up Projektbegleitungen IT-Governance IT-Risikoevaluation aufsichtsrechtliche Anforderungen Koordination Prüfprogramm Management-Prozessprüfungen Follow-up, Projektbegleitungen IT-Prozessmanagement 9 ISACA After Hours Semiar - IT-Revisionsplanung & These 2 Der Einfluss der IT- Revision auf die risikoorientierte (Gesamt-)Revisionsplanu ng bleibt klein. 10 ISACA After Hours Semiar - IT-Revisionsplanung & 5

6 Risikoorientierte (Mehrjahres-)Prüfungsplanung Strategische Revisionsziele Im Zentrum der IT-Revision stehen: Management der IT-Risiken Ordnungsmässigkeit von IT-Systemen und IT-Betrieb im Rahmen der finanziellen Berichterstattung (Dokumentationsprinzip) Sicherheit von IT-Systemen und IT-Betrieb mit Fokus auf Vermögensschutz und Betriebsbereitschaft (generelle IT-Kontrollen) Effizienz und Effektivität von IT-Organisation und IT-Prozessen Existenz und Wirksamkeit von automatisierten IT-Kontrollen in den Anwendungen Prüfbereiche: Organisation (Management, Entwicklung, RZ-Betrieb) Infrastruktur (Hardware inkl. Basis-Software, Telekommunikation) Technologie (Strategie, Architektur) Umweltbedingungen Rechenzentrum Anwendungssoftware (Applikationen) 11 ISACA After Hours Semiar - IT-Revisionsplanung & Risikoorientierte Revisionsplanung Koordination der Revisionstätigkeiten mit externer Revisionsstelle und Regulator Mikroanalyse Geschäftsinhärente Faktoren (Ausfall-, Markt-, Liquiditäts-, Abwicklungs-, IT-, Reputationsrisiken etc.) Kontrollrisiken (Qualität des IKS) Aufdeckungsrisiken (Komplexität Produkte, Prozesse, Systeme etc.) etc. Jahres-- Zielsetzungen Spezialaufgaben externe Mandate Aufträge Bankbehörden, Prüfungsausschuss Makroanalyse externe Risikotreiber: veränderte Wirtschaftsaussichten, Konkurrenzsituation, technologische und regulatorische Entwicklungen etc. interne Risikotreiber: wesentliche Änderungen in der ZKB-Strategie, grössere Reorganisationen, neue Geschäftsfelder etc. 12 ISACA After Hours Semiar - IT-Revisionsplanung & 6

7 Definitionen Operationelle Risiken nach Basel II Operationelle Risiken sind definiert als die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen oder Systemen oder in Folge von externen Ereignissen eintreten. IT Risiken IT Risiken sind definiert als die Gefahr von Verlusten, die im Business aufgrund von Verfügbarkeits-, Integritäts- oder Datenvertraulichkeits-Verletzungen von IT- Leistungen eintreten. 13 ISACA After Hours Semiar - IT-Revisionsplanung & Grundsätzlicher Methodenansatz 1 Leistungen im Prozessebenen- Modell manuelle, organisatorische Leistungen Eingabe Business-Layer (Geschäftsprozess) Verarbeitung manuelle / organisatorische Abwicklung Ausgabe applikationsbezogene Leistungen Applikations-Layer automatisierte / programmierte Abwicklung IT-gestützte Leistungen* applikationsunabhängig bezogene Leistungen = generelle IT- Leistungen Infrastruktur-Layer (IT-Ressourcen: Hardware/Systeme) *als Services bezogene IT-Dienstleistungen mit SLAgesicherten Verfügbarkeiten und Kontrollen 14 ISACA After Hours Semiar - IT-Revisionsplanung & 7

8 Grundsätzlicher Methodenansatz 2 Ermittlung Kombiniertes Risiko Inhärentes Risiko Tiefer Reifegrad Kontrollrisiko Mittel Reifegrad Höher Reifegrad Tiefer Minimal Keine Prüfung Moderat Plausibilisierung Mittel Prüferische Durchsicht Höher Moderat Plausibilisierung Mittel Prüferische Durchsicht Maximal Prüfung 15 ISACA After Hours Semiar - IT-Revisionsplanung & Risikoorientierte Revisionsplanung der IT-Revision Risikoportfolio Auswahl Follow up Risikobewertung Daten Risikobewertung IT-Prozesse Jährliche Prüfungsplanung Regulatorische Pflichtprüfungen Art. 44o BankV SWX etc. Prüfungen Fachrevision IT-Applikationen gemäss Prüfungsplanung Fachrevisionen Risikobewertung Applikationen Risikobewertung Basisinfrastruktur Auswahl Projektbegleitungen 16 ISACA After Hours Semiar - IT-Revisionsplanung & 8

9 Ziele ROPP Basisinfrastruktur Die Risikobeurteilung vorfolgt zwei Ziele: 1. Bilden einer Grundlage für die Mehrjahresplanung von Prüfungen im Rahmen der Basisinfrastruktur. 2. Ermitteln von Kennzahlen, die den Einfluss der Basisinfrastruktur auf die Applikationen und Daten der ZKB und damit indirekt auf die Geschäftsprozesse ergibt. 17 ISACA After Hours Semiar - IT-Revisionsplanung & Risikobestimmung Basisinfrastruktur CISA-Elemente W'keit In % Gefährdung Daten Applikationen Auswirkungen Technologien Massnahmen/ Feststellungen Infrastruktur Personal Zw Ef Vt In Vf Eh Vl SFr. Zahl Zahl Std CobiT-Prozesse Zw = Zweckmässigkeit Ef = Effizienz Vt = Vertraulichkeit In = Integrität Vf = Verfügbarkeit Eh = Einhaltung Vl = Verlässlichkeit Risiko = Eintretenswahrscheinlichkeit x Auswirkung 18 ISACA After Hours Semiar - IT-Revisionsplanung & 9

10 Ziele ROPP Applikationen Pro Applikation werden mehrere Risk Scores zu IT-Risiken und IT- Kontrollen mittels Indikatoren ermittelt: Die Fachrevision integrieren diese Werte via die Applikationen in das Risk Score der Geschäfte*. *Geschäft = AT (Audit Type) der Fachrevision Applikationspriorisierung aus Geschäftsoptik. Die IT-Revision ermittelt die Risk Scores aus reiner IT-Sicht. Applikationspriorisierung aus IT-Optik. In den Werten einer Applikation werden die Beurteilungen der IT-Prozesse, Informationen (Daten), Infrastruktur (Technik, Anlagen) sowie Personal via Auswahl der Indikatoren indirekt subsumiert und noch nicht direkt mittels Risk Scores-Ansatz integriert. 19 ISACA After Hours Semiar - IT-Revisionsplanung & Ergebnis für die Fachrevision Pro Applikation werden Risk Scores* ermittelt für das inhärente IT-Risiko bezüglich Integrität das inhärente IT-Risiko bezüglich Verfügbarkeit das Versagensrisiko der IT-Kontrollen bezüglich Integrität das Versagensrisiko der IT-Kontrollen bezüglich Verfügbarkeit * Werteskala: 1=hohes 5=tiefes inhärentes IT-Risiko resp. 1=hohes 5=tiefes Versagensrisiko der IT-Kontrolle (1=nicht wirksame, 5=wirksame Kontrolle) 20 ISACA After Hours Semiar - IT-Revisionsplanung & 10

11 Ergebnis für die IT-Revision Pro Applikation werden Risk Scores* ermittelt für den IT-Appl.-Faktor (ungewichtet) den IT-Appl.-RiscScore (gewichtet nach Appl.Klassifikation) den Fach-Appl.-RiskScore (gewichtet nach Fachrevision) die Gesamtprüfrelevanz (Prüfstrategie) zur risikoorienten Priorisierung. * Werteskala: 1=hohes 5=tiefes inhärentes IT-Risiko resp. 1=hohes 5=tiefes Versagensrisiko der IT-Kontrolle (1=nicht wirksame, 5=wirksame Kontrolle) 21 ISACA After Hours Semiar - IT-Revisionsplanung & Auswahl der Indikatoren Die Beurteilung der ausgewählten IT-Risiken und IT-Kontrollen basiert auf in der ZKB verfügbaren, messbaren Indikatoren. Diese ist somit nachvollziehbar (nicht subjektiv). Basis Applikationsrisikoassessment der Informatik (24 Themen zu 92 Indikatoren) Mit Hilfe von CobiT wurden die passenden Indikatoren für das inhärente IT-Risiko wie auch für die IT-Kontrollen bestimmt. 22 ISACA After Hours Semiar - IT-Revisionsplanung & 11

12 Verwendete Indikatoren pro COBIT-Prozess Inhärent Applikations-Bewertung Inhärente IT-Risiken IT-Kontrollen Integrität Verfügbarkeit DS 11 Datenmanagement DS 5 Datensicherheit AI 6 Änderungswesen DS 4 Katastrophenvorsorge Bussinessdatenkorrekturen Datenlead Datenhaltung dezentral Vertraulichkeit Externe Kommunikation Sicherheitsanforderungen Änderungsintervall Abhängigkeit zu Umsystemen Relevanz für Umsysteme 23 ISACA After Hours Semiar - IT-Revisionsplanung & Verwendete Indikatoren pro COBIT-Prozess IT-Kontrollen Applikations-Bewertung Inhärente IT-Risiken Integrität IT-Kontrollen Verfügbarkeit DS 11 Datenmanagement DS 5 Datensicherheit AI 6 Änderungswesen DS 4 Katastrophenvorsorge Archivierung Aufzeichnung (Logging) Datenvalidierung Schnittstellenabstimmung Authentisierung Zugriffsschutz Autorisierung Verschlüsselung IT-Prozesse Changes Releases Anforderungen Kompensation ICT-System und Gebäude Notfallarbeitsplatz SE 24 ISACA After Hours Semiar - IT-Revisionsplanung & 12

13 Inhärenter Indikator für AI 6 Änderungswesen COBIT: Minimierung der Wahrscheinlichkeit von Unterbrüchen, unberechtigten Änderungen und Fehlern. Idee: Möglichkeit für Änderungen ohne Kontrolle, Anzahl Emergency Fixes (DLK...), Anzahl Standard Änderungen (DLK 4..), Anzahl Anforderungen an die Applikation. OpRisk: Änderungsintervall in der Produktion. Je öfter eine Applikation geändert wird, desto öfter passieren Fehler. 25 ISACA After Hours Semiar - IT-Revisionsplanung & Kontroll-Indikator für AI 6 Änderungswesen COBIT: Konfigurationsmanagement (KM), Versionenverwaltung, Software-Verteilung. Idee: Einhaltung des KM, Durchführen von Tests, IT-Betrieb nicht durch Engineering. OpRisk: IT-Prozesse für Changes, Releases, Anforderungen. Fünf unabhängige Massnahmen, welche ein ideales Vorgehen bei Änderungen beschreiben. Durchschnitt der fünf Werte 26 ISACA After Hours Semiar - IT-Revisionsplanung & 13

14 These 3 Die IT-Revision kann der Fachrevision die geforderte Bestätigung nur dann gezielt abgeben, wenn die Fachrevision ihre Ansprüche in IT-bezogenen Prüfzielen stellt. 27 ISACA After Hours Semiar - IT-Revisionsplanung & Prüfungsvorbereitung Prüfauftrag Prüfobjekt, Prüfziele, Deliveries Verantwortlichkeiten, wichtigste Kontaktpersonen, Berichtsempfänger Zeit- & Budget-Vereinbarung, voraussichtlich benötigte Audit-Ressourcen Informationsbeschaffung IT-Organisation, IT-Sicherheitskonzepte, Netzwerk, BCP, IT-Architektur IT-Inventar, Räumlichkeiten & Stockwerk-Pläne, Job-Beschreibungen, A/K/V Entwicklungs- und Betriebs-Prozesse, Incident/Problem-Handling & ChangeMgmt- Prozesse Prüfplan Zeitplan für die Abwicklung der Prüfungshandlungen, Auswertung und Berichterstattung Fragekatalog inklusive Interview-Partner & -Timing Personelle Zusammensetzung und Ablaufplan für allfällige Self Assessments Vorgehensweise bei Einhalteprüfungen, Stichprobenwahl Kickoff Vorstellung Audit-Team, Prüfbereich/-ziele, zeitlicher Ablauf, Self Assessment Methode 28 ISACA After Hours Semiar - IT-Revisionsplanung & 14

15 Auswahl der CobiT IT-Prozesse Domain ID Prozess Anz Zweckmässigkeit Effizienz Vertraulichkeit Integrität Verfügbarkeit Einhaltung Verlässlichkeit Personal Anwendungen Technologien Infrastruktur Daten Planung & PO1 Strategische IT-Planung 8 P S x x x x x Organisation PO2 IT-Architektur 4 P S S S x x PO3 Technologische Stossrichtung 5 P S x x PO4 Informatik-Organisation und Beziehungen 15 P S x PO5 IT-Finanzplanung 3 P P S x x x x PO6 Kommunikation der Ziele und Weisungen 11 P S x PO7 Personalmanagement 8 P P x PO8 Einhaltung externer Anforderungen 6 P P S x x x PO9 Risikomanagement 8 S S P P P S S x x x x x PO10 Projektmanagement 13 P P x x x x PO11 Qualitätsmanagement 19 P P P S x x Beschaffung & AI1 Prüfen verschiedener Lösungsvarianten 18 P S x x x Einführung AI2 Beschaffung und Wartung von Applikationen 17 P P S S S x AI3 Beschaffung und Wartung der techn. Infrastruktur 7 P P S x AI4 Entwicklung und Unterhalt von Betriebsanweisungen 4 P P S S S x x x x AI5 Installation und Abnahme 14 P S S x x x x x AI6 Änderungswesen (Changemanagement) 8 P P P P S x x x x x Betrieb & DS1 Festlegen der Systemanforderungen 7 P P S S S S S x x x x x Support DS2 Beanspruchung externer Dienste 8 P P S S S S S x x x x x DS3 Performance und Kapazitätskontrolle 9 P P S x x x DS4 Katastrophenvorsorge 13 P S P x x x x x DS5 Datensicherheit 21 P P S S S x x x x x DS6 Kostenkontrolle 3 P P x x x x x DS7 Schulung und Weiterbildung 3 P S x DS8 Anwenderunterstützung und Beratung 5 P x x DS9 Konfigurationsmanagement 8 P S S x x x DS10 Problemmanagement 5 P P S x x x x x DS11 Datenmanagement 30 P P x DS12 Infrastruktursicherheit 6 P P x DS13 Operating 8 P P S S x x x x Überwachung M1 Prozessüberwachung 4 P S S S S S S x x x x x M2 Angemessenheit Interner Kontrollen 4 P P S S S S S x x x x x 29 ISACA After Hours Semiar - IT-Revisionsplanung & Zuordnung: Prüfziel Kontrollziel Prüfziele (Kriterien, Resourcen)+Prüfobjekte Aussagen zu den Prüfzielen...werden aufgeteilt in......werden zusammengefasst in... IT-Prozesse Aussagen zu IT-Prozessen...werden aufgeteilt in......werden zusammengefasst in... Kontrollziele/ Gegenstände Aussagen zu Kontrollzielen/ Gegenständen Prüfung der Gegenstände im Bezug auf Kontrollziele 30 ISACA After Hours Semiar - IT-Revisionsplanung & 15

16 These 4 Die Prüfungen auf Wirksamkeit der IT-Kontrollen scheitern daran, dass die IT-Kontrollen meist nicht oder schlecht dokumentiert sind. 31 ISACA After Hours Semiar - IT-Revisionsplanung & Prüfungsdurchführung Methodik Prüferische Durchsicht, Walkthrough Einhalteprüfung, Prozessprüfung Control Self Assessment (CSA): Identifikation der Risiken und Kontrollen, Bewertung der Angemessenheit der Risiken und Kontrollen Ausführen der Prüfungshandlungen Abarbeiten des Prüfplans Festhalten der Ergebnisse Bewerten und priorisieren der Ergebnisse Dokumentation Nachweispflicht: Prüfungsergebnisse und Bewertungen sind durch entsprechende Analysen und Interpretationen des Materials zu belegen. Tools CobiT Framework Anleitungen, Checklisten und strukturierte Arbeitspapiere Prozess- Applikations-, Betriebs-, Anwenderhandbücher etc. persönliche, schriftliche, telefonische Interviews offene und verdeckte Beobachtungen 32 ISACA After Hours Semiar - IT-Revisionsplanung & 16

17 Kontrollen aus Sicht Informatik Anforderungen an die Kontrollen (vom Fachbereich zu liefern) - Qualität (Zweckmässigkeit, Effizienz) - Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) - Ordnungsmässigkeit (Einhaltung, Verlässlichkeit) selbsttätige Prüfungen in der Geschäftsabwicklung IT-gestützt manuell organisatorische Kontrolle Appl.abhängig: automatische, programmierte Appl.unabh.: als Service bezogene Führungskontrollen im Informatikprozess Management - Prozesse Leistungserstellungs- / Support- Prozesse Ressourcen Personal Applikationen Infrastruktur Daten Umsetzung der Kontrollen (durch die IT zu erstellen) 33 ISACA After Hours Semiar - IT-Revisionsplanung & Vorgabe Compliance Reglement über die Funktion Compliance (Compliance Reglement) der ZKB 1 Compliance ist einerseits die Übereinstimmung des Verhaltens und der Handlungen der Bank und der Mitarbeitenden mit den für sie geltenden Normen des Rechts und der Ethik und andererseits die Gesamtheit aller organisatorischen Massnahmen zur Verhinderung von Gesetzesverletzungen und Verstössen gegen Regeln und Normen der Ethik durch die Bank, deren Organe und deren Mitarbeitende. Rundschreiben der Eidg. Bankenkommission: EBK-RS 06/6 "Überwachung und interne Kontrolle" Rz 97 Als Compliance (Normeneinhaltung) gilt das Einhalten von gesetzlichen, regulatorischen und internen Vorschriften sowie die Beachtung von marktüblichen Standards und Standesregeln. Rz 98 Als Compliance-Risiko gilt das Risiko von Verstössen gegen Vorschriften, Standards und Standesregeln und entsprechenden rechtlichen und regulatorischen Sanktionen, finanziellen Verlusten oder Reputationsschäden. 34 ISACA After Hours Semiar - IT-Revisionsplanung & 17

18 Umsetzung IT-Revision Lückenlos nachvollziehbar - d.h. dokumentiert - müssen sämtliche Compliancerelevanten Handlungen (Aktivitäten) und Ergebnisse aller innerhalb der in der ZKB (Konzern) definierten und ausgeübten Prozesse (entlang der Prozesskette) sein. Dies unter der Einhaltung folgender Rahmenbedingungen an die aufgezeichneten Informationen (Daten und Dokumente): Nachweis der Integrität der aufgezeichneten Informationen (= Echtheit, Unverfälschbarkeit, Vollständigkeit und Lückenlosigkeit) Korrekte Aufbewahrung (sorgfältig, geordnet, geschützt, mit festgelegter Dauer, mit festgelegter Verantwortlichkeit) Verfügbarkeit (einsehbar und auswertbar innert angemessener Frist) Übereinstimmung der Dokumente mit dem zu Grunde liegenden und eindeutig referenzierten Auftrag (d.h. sowohl interne wie externe Anforderungen, Unterlagen einzelnen Geschäftsvorfällen zuordnen zu können) Zugriffsschutz und Zugriffskontrolle (need to know) Dokumentation von Organisation, Zuständigkeit, Abläufen, Verfahren und Infrastruktur für die Aufzeichnung (Aufbewahrung analog den aufgezeichneten Informationen selbst) 35 ISACA After Hours Semiar - IT-Revisionsplanung & These 5 Der IT-Revisor muss viele Empfängerbedürfnisse erfüllen können. Die Berichterstattung der IT-Revision kommt daher der Quadratur des Kreises gleich. 36 ISACA After Hours Semiar - IT-Revisionsplanung & 18

19 Arbeitspapiere der Informatik-Revision Audit, Audit geprüfte, Management Audit, Audit Informatik Bereiche des gepr. Bankpräsidium, Informatik Bereichs Geschäftsleitung Einzelberichte Prüfauftrag Arbeitspapiere Prüfplan (Planungsmemo) Revisionsbericht mit Anhang 37 ISACA After Hours Semiar - IT-Revisionsplanung & Die Werkzeuge Hauptfunktion Risikoanalyse ROPP (Access), Excel Prüfungsplanung Wordvorlagen, Excel Prüfung/Revision Wordvorlagen, Excel Berichterstattung Wordvorlagen generell Aufbewahrung Adobe PDF , Termine Lotus Notes Secure Webmail BerichtsdatenbankAccess Zeiterfassung Priska, Excel Mathematica Modellabnahme Mathlab Protototyping FinCad Bewertung Finanzprodukte Monitoring Tool Neue Produkte im Handel Informatik Visio IBO SAS ACS ASY Intranet cmdb CheckAud "read" Prozesse, Systemübersichten Prozesse Datenauswertung Berechtigungen Archiv Weisungen Systemkonfiguration SAP Analyse lesender Zugriff in Applikationen 38 ISACA After Hours Semiar - IT-Revisionsplanung & 19

20 Berichterstattung Der Schlussbericht ist den designierten (sachkundigen) Berichtsempfängern in einer empfängergerechten Form vorzulegen. Im Bericht sind vermerkt: die geprüften Organisationseinheiten (Verantwortlichkeiten) die Empfänger des Berichts allfällige Verwendungsbeschränkungen Aus diesem Bericht müssen hervorgehen: Ziele, Art und Umfang der durchgeführten Prüfungshandlungen hervorgehen die wesentlichen Prüfungsfeststellungen Folgerungen (Plausibilität) Empfehlungen der Revision und Stellungnahmen des Managements Vorbehalte oder Einschränkungen bezüglich Umsetzung 39 ISACA After Hours Semiar - IT-Revisionsplanung & Übersicht über die Elemente Die Berichterstattung bestehend aus Revisionsbericht Der Revisionsbericht enthält eine Zusammenfassung der wesentlichen Feststellungen. Wesentliche Feststellungen sind nicht a priori nur Beanstandungen. Positive Prüfungsergebnisse (bspw. Stärken, hoher Gütegrad des IKS) gehören auch dazu. Einzelbericht Wesentliche negative Feststellungen werden in Form von Einzelberichten rapportiert und im "Audit Tracking" überwacht. Anhang zum Revisionsbericht Sachverhalte von geringer Bedeutung werden gerafft im Anhang zum Bericht dargestellt (ohne Überwachung im "Audit Tracking"). 40 ISACA After Hours Semiar - IT-Revisionsplanung & 20

21 These 6 Die fristgerecht Erledigung der Revisionspendenzen ist eine Managementaufgabe. Denn die Fristen sind dem permanenten Druck der wechselnde Prioritäten der Fachstellen ausgesetzt. 41 ISACA After Hours Semiar - IT-Revisionsplanung & Pendenzenverwaltung - Nachschauprüfung Ablage der Pendenzen im Massnahmen-Repository Prüfungs-Metadaten: Prüfungs-Typ, -Zeitpunkt, -Nr, etc. Festgelegte Massnahme: Wortlaut, Fälligkeit, umsetzungsverantwortliche Stelle/Person, Status Historisierung der Veränderungen bezüglich Fälligkeit, Verantwortlichkeit, Umsetzungsmethode Filterbarkeit der Pendenzen nach Kriterien wie Prüfungs-Metadaten, Fälligkeit, Umsetzungsstatus der Massnahme, umsetzungsverantwortliche Stelle Im Nachgang zu den Revisionsarbeiten muss der Informatikrevisor die für die Befunde, Empfehlungen und Folgerungen der Revision relevanten Informationen anfordern und auswerten, um festzustellen, ob die erforderlichen Massnahmen termingerecht umgesetzt worden sind. Follow-up Verifikation der Erledigungsmeldungen Verifikation des Erledingungsstandes der übrigen Pendenzen Neubeurteilung der Pendenzen aufgrund veränderter Rahmenbedingungen Ergänzung der Pendenzen mit neuen Follow-up-Erkenntnissen 42 ISACA After Hours Semiar - IT-Revisionsplanung & 21

22 These 7 Die Projektbegleitung ist aus Sicht der Geschäftsleitung der wirkungs-vollste Beitrag der Revision. Da sich die Prüfungshandlungen schwer nachweisen lassen und der Revisor stets der Problematik der Unabhängigkeit ausgesetzt ist, wird sie bei der Revisionsleitung wenig geschätzt. 43 ISACA After Hours Semiar - IT-Revisionsplanung & Projektbegleitung Ordnungsmässigkeit und Sicherheit Kontrollen (IKS) Überwachung und Steuerung Ordnungsmässigkeit und Compliance mit Gesetzen, Weisungen, Richtlinien, Standards etc.) Prüfspuren & Nachprüfbarkeit Dokumentation Sicherheit (Daten, Prozesse) Zweckmässigkeit und Qualität Effektivität (Wirksamkeit) Effizienz (Wirtschaftlichkeit, Kosten/Nutzen) Umsetzungsgrad der Anforderungen (User, Standards) Qualitätssicherung Stakeholdereinbezug Potentielle Prüfbereiche Alle Projekte gemäss IT-Planung Technologie System-Engineering Projektcontrolling Projektmanagement Datenmanagement IT-Architektur Grundsatz: Die Unabhängigkeit der Revision bleibt oberstes Gebot. Der Revisor darf in keiner der aufgeführten Varianten am Entscheidungsprozess oder an der Ausübung interner Kontrollen beteiligt sein oder werden. 44 ISACA After Hours Semiar - IT-Revisionsplanung & 22

23 Vorgehen zur Bestimmung des Programms Auftraggeber und die Informatik-Revision vereinbaren gemeinsam die projektbegleitenden Themen anhand der Checkliste der Leistungsanforderungen, zu denen eine Aussage durch die Revision erwartet wird resp. attestiert werden soll. Auswahl und Zuordnung der CobiT -Prozesse und weiterer Grundlagen (Checklisten) zu den projektbegleitenden Themen. Auswahl der Kontrollziele anhand der identifizierten CobiT - Prozessen. Zuordnung der relevanten Lieferobjekte zu den ausgewählten Kontrollzielen (themengruppiert). Plausibilisierung / kritische Durchsicht der relevanten Lieferobjekte und Berichterstattung in standardisierter Form pro projektbegleitende Thema. 45 ISACA After Hours Semiar - IT-Revisionsplanung & These 8 SAP ist keine Standardlösung sondern ein Baukastensystem mit Standardbausätzen. Daher gleicht keine Installation der anderen. 46 ISACA After Hours Semiar - IT-Revisionsplanung & 23

24 Prüfung Standardsoftware/-lösungen 1/2 am Beispiel SAP SAP-Spezifikas: Jedes SAP-System verfügt über ein komplette IT-Umgebung Jedes SAP-System benötigt des SAP-Basissystem, kann aber mehrere Module, Mandanten umfassen SAP-Systeme werden zu logischen Reihen verbunden (C, T, Q, P) Alle Objekte (Daten, Programme, Parameter, etc.) werden in Tabellen hinterlegt Customizing erfolgt mehrheitlich durch Berater, die auf Module spezialisiert sind Komplexe Rollen- und Berechtigungsverwaltung bis auf Stufe Attribut Systemreihen sind untereinander mit Datenschnittstellen verbunden (integriert) 47 ISACA After Hours Semiar - IT-Revisionsplanung & Prüfung Standardsoftware/-lösungen 2/2 am Beispiel SAP Einführung in den Fachstellen oft als Ersatz für Excel/Access an der IT vorbei SAP oft nicht Gegenstand des Sicherheitsprogramms der IT Know how bei der eigenen IT fehlt Beherrschung der Komplexität erfordert Expertenwissen und Toolunterstützung Grenze zwischen Entwicklung und betrieblicher Veränderung oft verschwommen 48 ISACA After Hours Semiar - IT-Revisionsplanung & 24

25 SAP ist eine komplexe Systemlandschaft (Baukastensystem mit individuellen, parametrisierbaren Standardbausteinen) SAP-Module P11 P11 P11 Datenbank Betriebssystem P11 SAP-Basis P11 Mandanten SAP-Module Produktion P11 49 ISACA After Hours Semiar - IT-Revisionsplanung & Q S Q11 FI,MM,SD,CFM, CO,PS,RE,SEM Q S T e s t Entwicklung T e s t Produktion FS-AM P14 Q S Q40 Entwicklung T e s t Produktion BW P40 Produktion Q S Entwicklung T e s t Entwicklung Q S T e s t Systemreihe Produktion Entwicklung These 9 Mit dem Dienstleistungszentrum organisiert sich die Interne Revision neu: Der Datenfluss-/Applikationsprüfer integriert mit den Application Controls in die Fachrevision. Der IT-Prozess-/Infrastrukturprüfer erstattet Bericht zu den General IT Controls nach PS 402- / SAS ISACA After Hours Semiar - IT-Revisionsplanung & 25

26 Programm ZuVa: Die ZKB setzt ihre Strategie um Kooperationspartner Gemeinsames Unternehmen Kooperationsvertrag Dienstleistungszentrum für Informatik und Backoffice Qualitativ hochwertige IT- und Backoffice-Dienstleistungen zu wettbewerbsfähigen Preisen Weitgehende Vereinheitlichung der Produkte, Prozesse und Plattformen (Systeme) Einsparungen in Höhe von 20 Prozent (Skaleneffekt) Sitz in Zürich und Betriebsstätte in Lausanne Rund 1300 Arbeitsplätze davon ca. 250 in Lausanne 51 ISACA After Hours Semiar - IT-Revisionsplanung & Das IT-Führungsmodell neu ab ZKB ZKB ZuVa Steuerungsausschuss (ZKB ZuVa STA) * Business-Architekt (Bankfachliches Soll-Modell) ** IT-Strategie Vertrieb PPA PPO PPA PPO Anlagen PPA PPO ZKB Logistik (auszugliedernde Bereiche) IT-Architektur und Planung Investment Banking PPA PPO PPA PPO PPA PPO Backoffice Services (Produktion) Geldverkehr Finanzierungen Banksteuerung Supportprozesse PPA PPO IT-Controlling (inkl. Planung und Abrechnung) IT-Projekte und Entwicklung (Change the Bank) IT-Betrieb und Infrastruktur (Run the Bank) * Bis Abschluss Programm ZuVa stellt STA ZuVa die Umsetzung sämtlicher ZuVa-relevanten Anforderungen sicher 52 ISACA ** Bis After zum Hours Aufbau Semiar DLZ - IT-Revisionsplanung in IT-Architektur und & Planung angesiedelt; 29. April anschliessende 2008 Überführung in die Bank 26

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Zukunftsfähige Software-Architektur für das Kundenreporting einer Universalbank

Zukunftsfähige Software-Architektur für das Kundenreporting einer Universalbank Zukunftsfähige Software-Architektur für das Kundenreporting einer Universalbank BMPI-Trends im Client-Reporting Zürich, 13.09.2007 Autor: Stefan Lenz Email-Adresse: stefan.lenz@zkb.ch ÖFFENTLICH Inhaltsübersicht

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you.

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you. Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002 Manfred Scholz, CISA Manfred.Scholz@sec4you.com Internet Banking aus der Sicht eines Prüfers Anforderungen

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Das Oracle Release- und Patch- Management unter ITIL in der Praxis

Das Oracle Release- und Patch- Management unter ITIL in der Praxis Das Oracle Release- und Patch- Management unter ITIL in der Praxis Kunde: DOAG Ort: Stuttgart Datum: 03.06.2008 Reiner Wolf, Trivadis AG Reiner.Wolf@trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf

Mehr

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung ISACA / SVI - IT-isikoanalyse IT-isikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung Peter Steuri Certified Information Systems Auditor dipl. Wirtschaftsinformatiker BDO

Mehr

Change- und Configuration Management

Change- und Configuration Management 12. itsmf Jahreskongress 2012 3./4. Dezember 2012 FUTURE OF ITSM Change- und Configuration Management Praktische Umsetzung COBIT 4.1 und Toolimplementierung 1 Vorgehensweise Prozessimplementierung Die

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System 7. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2011 DI Markus Hefler, BSc, Florian Hausleitner 1 Agenda 1. Kurze Vorstellung

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Firmenporträt Acons. Unser Netzwerk. Die Acons AG wurde Ende 2000 gegründet. Ihre drei Geschäftsfelder:

Firmenporträt Acons. Unser Netzwerk. Die Acons AG wurde Ende 2000 gegründet. Ihre drei Geschäftsfelder: Firmenporträt Acons Unser Netzwerk Die Acons AG wurde Ende 2000 gegründet. Ihre drei Geschäftsfelder: Interne Revision / IKS-Beratung SAP-Beratung Human-Resources-Beratung Unternehmen: : Acons Governance

Mehr

Allgemeine Regelungen 0-1

Allgemeine Regelungen 0-1 AR 0-1 Allgemeine Regelungen 0-1 Richtlinien für die Interne Revision der Deutschen Bundesbank (Revisionsrichtlinien) Inhaltsübersicht 1 Grundlagen 2 Verantwortung und Ziele 3 Stellung 4 Befugnisse 5 Grundsätze

Mehr

GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG

GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG 1 Agenda AMAG - Automobil und Motoren AG GRC Herausforderungen in der Praxis

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

willkommen herzlich Titelmasterformat durch Klicken bearbeiten Titelmasterformat durch Klicken bearbeiten Kundenbeispiel Cloud Solution von

willkommen herzlich Titelmasterformat durch Klicken bearbeiten Titelmasterformat durch Klicken bearbeiten Kundenbeispiel Cloud Solution von herzlich willkommen Kundenbeispiel Cloud Solution von Herr Simon Lutz Leiter Finanz- und Rechnungswesen Mitglied der Geschäftsleitung Agenda Unternehmen Spitex Zürich Sihl IT-Ausgangslage Herausforderung

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Optimales Outsourcing als strategische Aufgabe

Optimales Outsourcing als strategische Aufgabe IT-Beratung für Logistik und Optimales Outsourcing als strategische Aufgabe Agenda IT Sourcing: Anspruch und Wirklichkeit Ausgangslage und Zielsetzung b Logo Sourcing Scope-Workshop Das Logo Broker-Modell:

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

System-Tool MaRisk Light

System-Tool MaRisk Light Unser Angebot System-Tool MaRisk Light Von der Strategie bis zum Risikolimitsystem! Das System-Tool MaRisk Light umfasst die Module Risikoreport, Adressen- Risikomanagement, Interne Revision und IKS, Marktpreisrisikomanagement,

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

PROFI Managed Services

PROFI Managed Services PROFI Managed Services Die Lösungen der PROFI AG You do not need to manage IT to use IT Die PROFI Managed Services sind exakt auf die Bedürfnisse von komplexen IT-Umgebungen abgestimmt und unterstützen

Mehr

Prüfung eines Migrationsprojekts

Prüfung eines Migrationsprojekts Prüfung eines Migrationsprojekts Peter Ursprung Ursprung Consulting Postfach 8042 Zürich 044 361 12 21 peter.ursprung@bluewin.ch 1 Inhalt Interdisziplinarität von in IT-Projekten Welche Kompetenzen sind

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Revision in virtuellen Umgebungen. Rainer Kessler, März 2012

Revision in virtuellen Umgebungen. Rainer Kessler, März 2012 Revision in virtuellen Umgebungen Rainer Kessler, März 2012 Deutschland erwartet eine Umsatzsteigerung im Cloud-Computing von weit über 400% bis zum Jahr 2015. Mehr als 60 Prozent aller Unternehmen planen,

Mehr

Internes Kontrollsystem (IKS)

Internes Kontrollsystem (IKS) Internes Kontrollsystem (IKS) Unter dem Begriff des Internen Kontrollsystems werden allgemein Vorgänge und Massnahmen einer Unternehmung zusammengefasst, welche in Prozesse eingreifen, um deren korrekten

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

MNP: Model zur Implementierung der IT-Prozesse

MNP: Model zur Implementierung der IT-Prozesse Lionel Pilorget MNP: Model zur Implementierung der IT-Prozesse Mit 60 Abbildungen PRAXIS VIEWEG+ TEUBNER 1 Einleitung 1 2 Präsentation der IT-Prozesslandkarte 7 2.1 MIIP IT-Prozesslandkarte 8 2.2 Definition

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe IT Security @ EGGER ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe Michael Danzl, IT Security Officer, Fritz Egger GmbH und Co.OG Inhalt Die EGGER Gruppe Die EGGER OrgIT

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

IT-Governance einführen Herausforderungen, Aufgabenbereiche, Roadmap

IT-Governance einführen Herausforderungen, Aufgabenbereiche, Roadmap IT-Governance einführen Herausforderungen, Aufgabenbereiche, Roadmap Ernst Tiemeyer, IT-Consulting AGENDA IT-Governance Herausforderungen und Zielsetzungen im Überblick Zentrale IT-Steuerung Bereiche/Handlungserfordernisse

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch ATEGRA Domino Security Audits Ausgangslage Ihre Organisation hat Sicherheitsbedürfnisse Sie führen evtl. bereits periodische Security Audits durch Oft wird der Teil Lotus Domino technisch ausgelassen ATEGRA

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System Qualität und Führung 18. Juni 2008 Integration IKS ins bestehende Management System 0 3. Integration ins Management System Nutzen -> und Grenzen!!! Risikomanagement (RM) Integration der notwendigen Risikobeurteilung

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Cyber-Sicherheitscheck - Juli 2015 Inhalt 1 2 3 Einleitung und Herausforderungen Unsere Methodik Ihr Nutzen IT-Advisory 2 Cyber-Sicherheit eine Definition Cyber-Sicherheit

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

ITIL im öffentlichen Sektor Praxisbericht Stadt Köln Amt für Informationsverarbeitung

ITIL im öffentlichen Sektor Praxisbericht Stadt Köln Amt für Informationsverarbeitung ITIL im öffentlichen Sektor Praxisbericht Stadt Köln Agenda Entwicklung der Einführungsplanung Best Practices der Stadt Köln Warum 14? Schulungskonzept Integration Configuration Die Stadt Köln 405,15 qkm

Mehr

IKS Assessment / Dokumentation / Monitoring Vergleich der Vorgehensweisen IKS vs. Risiko Management

IKS Assessment / Dokumentation / Monitoring Vergleich der Vorgehensweisen IKS vs. Risiko Management Observar Suite IKS Assessment / Dokumentation / Monitoring Vergleich der Vorgehensweisen IKS vs. Risiko Management IKS Internes Kontrollsystem COSO Definition Nach dem COSO-Framework ist unter einem IKS

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Compliance Monitoring mit PROTECHT.ERM

Compliance Monitoring mit PROTECHT.ERM covalgo consulting GmbH Operngasse 17-21 1040 Wien, Austria www.covalgo.at Compliance Monitoring mit PROTECHT.ERM Autor: DI Mag. Martin Lachkovics, Dr. Gerd Nanz Datum: 20. Oktober 2014, 29. April 2015

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Geyer & Weinig. Wirtschaftliche Aspekte beim Einsatz von E2E-Monitoring Tools. viel Spaß wünscht Ihnen. Horst Schlosser

Geyer & Weinig. Wirtschaftliche Aspekte beim Einsatz von E2E-Monitoring Tools. viel Spaß wünscht Ihnen. Horst Schlosser Geyer & Weinig Wirtschaftliche Aspekte beim Einsatz von E2E-Monitoring Tools viel Spaß wünscht Ihnen Die Geyer & Weinig EDV-Unternehmensberatung GmbH wurde 1987 als Softwarehaus in Karlsruhe gegründet

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Reputational Risk Management der WestLB AG. Rainer Sprengel, OpRisk Forum Köln, 10. Mai 2012

Reputational Risk Management der WestLB AG. Rainer Sprengel, OpRisk Forum Köln, 10. Mai 2012 der, OpRisk Forum Köln, 10. Mai 2012 Bausteine RepRisk Strategie / Framework (Fokus: Transaktionsbezogen / Intern. Projektfinanzierung / Innovatives Kapitalmarktgeschäft / ) Instrumente Aktionen Reporting

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63 ... Geleitwort... 15... Vorwort... 17... Einführung... 23 1... Was ist Run SAP?... 25 1.1... Motivation der Run SAP-Methodik... 27 1.2... Roadmap... 29 1.3... Run SAP-Phasen... 32 1.3.1... Assessment &

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem 17. Bundesfachtagung IKS Transparenz schafft Sicherheit Erfolgsfaktor Internes Kontrollsystem Mag. Gunnar Frei Warum braucht eine Gemeinde ein IKS? Landeskriminalamt ermittelt Wie aus gut informierten

Mehr

Outsourcing kaufmännischer Aufgaben

Outsourcing kaufmännischer Aufgaben Outsourcing kaufmännischer Aufgaben speziell für Existenzgründer und kleine Unternehmen 7-it Forum am 1.12.2003 Outsourcing Fragen Was ist eigentlich Outsourcing? Für welche betrieblichen Aufgaben ist

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Spezialserviceleistungen im Meldewesen. Banking and Business Consulting GmbH 1

Spezialserviceleistungen im Meldewesen. Banking and Business Consulting GmbH 1 Spezialserviceleistungen im Meldewesen Banking and Business Consulting GmbH 1 I. Rahmenbedingungen II. Spezialservice Meldewesen III. Organisation der Zusammenarbeit mit der Bank Herausforderungen im Meldewesen

Mehr

Ansätze zur Synchronisation von Enterprise Architecture Management, Prozessmanagement und SAP. Ralf Ackermann Daimler AG, ITM MBC Powertrain

Ansätze zur Synchronisation von Enterprise Architecture Management, Prozessmanagement und SAP. Ralf Ackermann Daimler AG, ITM MBC Powertrain Ansätze zur Synchronisation von Enterprise Architecture Management, Prozessmanagement und SAP Ralf Ackermann Daimler AG, ITM MBC Powertrain Agenda Ausgangslage EAM Tool-Landschaft bei Daimler planningit

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Wir unterstützen Sie heute auf Ihrem Weg in die Zukunft...

Wir unterstützen Sie heute auf Ihrem Weg in die Zukunft... Wir unterstützen Sie heute auf Ihrem Weg in die Zukunft... Firmenprofil... damit Sie die richtigen Entscheidungen treffen und Ihr Unternehmen langfristig wettbewerbsfähig bleibt. Als finanziell unabhängiges

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME

IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME IKS, IKS-COSO, IKS COSO, COSO, COSO deutsch, Finanzkontrolle der Stadt Zürich, Interne Revision, INTERNE KONTROLLSYSTEME in Wirtschafts- und Verwaltungsunternehmungen Internal Audit, CIA, Internal Control

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Commerzbank AG Group Audit. - Revision in der Commerzbank -

Commerzbank AG Group Audit. - Revision in der Commerzbank - Commerzbank AG Group Audit - Revision in der Commerzbank - Auftrag Strategische Planung Operative Durchführung Mitarbeiter 1 Der Auftrag und die Positionierung - Zielsetzung Management-Unterstützung Aufzeigen

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr