IT-Revisionsplanung und -Durchführung

Größe: px
Ab Seite anzeigen:

Download "IT-Revisionsplanung und -Durchführung"

Transkript

1 IT-Revisionsplanung und - Ein Praxisbericht Bild mit Bezug zu Kunde oder Inhalt einfügen 'Einfügen -> Grafik -> Aus Datei' ISACA After Hours Seminar 2008 Zürich, Autor: Christian Balmer -Adresse: Höhe 13.3 cm Breite 14.4 cm Agenda Das Umfeld Unternehmen, IT-Führungsmodell, IT-Landschaft, Revisionsstandards Risikoorientierte (Mehrjahres-)Prüfungsplanung Abstimmung von Stakeholderansprüchen, Compliancevorgaben und Prüfbereichen Prüfungsvorbereitung Identifikation relevanter Prüffelder Prüfungsdurchführung Methodik, Dokumentation und Tools Berichterstattung Empfängergerechte Aufbereitung und Auswertung, Abnahmeinstanzen, vereinbarte Massnahmen Pendenzenverwaltung und Nachschauprüfung (Follow-up) Massnahmentracking Projektbegleitung Audit Agreement Prüfung von Standardsoftware/-lösungen Besonderheiten am Beispiel SAP Ausblick Bankendienstleistungszentrum Die Rolle als Konzernrevision versus Interne Revision der Tochter (Provider) 2 ISACA After Hours Semiar - IT-Revisionsplanung & 1

2 Die Zürcher Kantonalbank (ZKB) Führende Finanzdienstleisterin im Wirtschaftsraum Zürich Die ZKB ist eine grosse Schweizer Bank, aber keine Schweizer Grossbank Unternehmensgründung im Jahr 1870 Die Rechtsform entspricht einer selbstständigen öffentlich-rechtlichen Anstalt gemäss kantonalem Recht, mit dem Zweck der Erfüllung des Leistungsauftrages (Versorgung, Unterstützung, Nachhaltigkeit) des Kantons Zürich Die Kundensegmente bilden Privatkunden, Firmenkunden und Private Banking Kunden Das Kerngeschäft umfasst Finanzierungen, Immobilien, Anlage-, Vorsorge- und Vermögens-verwaltungsgeschäft, Handel, Kapitalmarkt, Zahlungsverkehr und Wertschriftenabwicklung Standard & Poor bewertet die ZKB mit «AAA» Staatsgarantie Ca. 4'400 Angestellte (FTE) 104 Niederlassungen im Kanton Zürich Stark positive Gewinnentwicklung seit 2001, Eigenkapitalrentabilität 12,5% ( ) 3 ISACA After Hours Semiar - IT-Revisionsplanung & Das IT-Führungsmodell der ZKB Vergangenheit Logistik Privatkunden Firmenkunden Investment & Privatbanking Finanz Gesamtleitung IT-Steuerungsausschuss Rapportierung Priorisierung Freigabe ZKB L P F I Z V Rapportierung Anforderungen Business Technology Organisation (BTO) Rapportierung Beauftragung Informatik Überwachung, Beurteilung IT-Controlling 4 ISACA After Hours Semiar - IT-Revisionsplanung & 2

3 Die IT-Landschaft der ZKB - "Big Picture" Laufendes Programm Übersicht über das Modell Geplantes Programm Management - Prozesse Vertriebsmanagement Produktemanagement Kommunikation Personal Finanzmanagement (inkl. Risikosteuerung) Compliance Vertrieb Verarbeitung Geldver kehr Kundenberatung Zahlungsverkehr Bestandesführung Bestandesführung Geldverkehr unbar Geld Karten Akquisition Mainframe Kundenbetreuung Finanzierungen & Immobilien Kundenberatung Bestandesführung Bestandesführung Bestandesführung Finanzierungen Finanzierungen Sicherheiten Grundstücke/Immobilien Geschäfts - verw al tung Service / Basisdienstleistungen Anlagen, Vermögensverwaltung und Handel WSA Kundenberatung Anlagen & VV Handel Asset Management Wertschriften - abwicklung Bestandesführung Wertschriften Support - Prozesse ASD Informatik Dokumenten - Management Internes Reporting/ Daten auswerten Referenz - Stammdaten Auftrags -/ Produktionssteuerung Informations - sicherheit Pricing & Verrechnung Kundenreporting Partner - verwaltung Finanzinformationen Mainframe CIF 5 ISACA After Hours Semiar - IT-Revisionsplanung & Anwendung von Revisionsstandards sowie Best Practices Audit Informatik IIA-Standards (SVIR) Prüfungsstandards COSO Framework für Risikoanalyse Basel II IIR (Deutsches Institut für Interne Revision e. V.) etc. CISA Review Manual/ ISACA Standards CobiT 3 / 4.1 ISO (Service Management), ITIL ISO (IT Security) BSI IT-Grundschutz Produktspezifische Leitfäden (SAP, AIX, Oracle) 6 ISACA After Hours Semiar - IT-Revisionsplanung & 3

4 These 1 Mit den Berufsbildern CISA und CISM sowie dem international anerkannten Rahmenwerk CobiT verfügt der IT-Revisor über einen Rucksack, der ihn für alle Informatik- Revisionsaufgaben rüstet. 7 ISACA After Hours Semiar - IT-Revisionsplanung & Die Aufgaben der Informatik-Revision Sie analysiert und beurteilt die Zweckmässigkeit der IT-Risikosteuerung sowie die Angemessenheit der Aufbau- und Ablauforganisation der Informatik und der in den Geschäftsprozessen eingesetzten automatisierten Schlüsselkontrollen in Bezug auf effiziente Zielerreichung der Unternehmung. Sie prüft, ob die Kontrollen der Informationssysteme den in Gesetzen, Verordnungen, Statuten, Reglementen, Verträgen sowie internen Weisungen und Richtlinien festgelegten Normen sowie den Geschäftsansprüchen entsprechen. Sie berät und unterstützt die verantwortlichen Fachstellen und das IT- Engineering bei der Planung, Beschaffung, Entwicklung oder Änderung und Implementierung der Kontrollen in Informationssystemen. Sie stellt der Fachrevision die für ihre Prüfungen notwendigen Auswertungen zur Verfügung. 8 ISACA After Hours Semiar - IT-Revisionsplanung & 4

5 Funktionendiagramm Audit Informatik der ZKB abgeleitet aus dem CISA-Berufsbild Dotation: 8 FTE Datenmanagement Support PC Reporting Daten und Support Abklärungen Auswertungen, Support Spezialprüfungen, Follow-up Projektbegleitungen Leitung AI disziplinarische Führung Prüf-/Ressourcenplanung Gesamtrisikobeurteilung Qualitätsmanagement Applikationen/Schnittstellen (Geschäftsanwendungen) System-/Prozessprüfungen Einhalteprüfungen, Follow-up Projektbegleitungen Standardlösungen Avaloq Standardlösungen SAP Individuallösungen make/buy Basistechnologie zentral/dezentral IT-Infrastruktur (Hardware, Netzwerk, Web) System-/Prozessprüfungen Sicherheitsprüfungen, Follow-up Projektbegleitungen IT-Governance IT-Risikoevaluation aufsichtsrechtliche Anforderungen Koordination Prüfprogramm Management-Prozessprüfungen Follow-up, Projektbegleitungen IT-Prozessmanagement 9 ISACA After Hours Semiar - IT-Revisionsplanung & These 2 Der Einfluss der IT- Revision auf die risikoorientierte (Gesamt-)Revisionsplanu ng bleibt klein. 10 ISACA After Hours Semiar - IT-Revisionsplanung & 5

6 Risikoorientierte (Mehrjahres-)Prüfungsplanung Strategische Revisionsziele Im Zentrum der IT-Revision stehen: Management der IT-Risiken Ordnungsmässigkeit von IT-Systemen und IT-Betrieb im Rahmen der finanziellen Berichterstattung (Dokumentationsprinzip) Sicherheit von IT-Systemen und IT-Betrieb mit Fokus auf Vermögensschutz und Betriebsbereitschaft (generelle IT-Kontrollen) Effizienz und Effektivität von IT-Organisation und IT-Prozessen Existenz und Wirksamkeit von automatisierten IT-Kontrollen in den Anwendungen Prüfbereiche: Organisation (Management, Entwicklung, RZ-Betrieb) Infrastruktur (Hardware inkl. Basis-Software, Telekommunikation) Technologie (Strategie, Architektur) Umweltbedingungen Rechenzentrum Anwendungssoftware (Applikationen) 11 ISACA After Hours Semiar - IT-Revisionsplanung & Risikoorientierte Revisionsplanung Koordination der Revisionstätigkeiten mit externer Revisionsstelle und Regulator Mikroanalyse Geschäftsinhärente Faktoren (Ausfall-, Markt-, Liquiditäts-, Abwicklungs-, IT-, Reputationsrisiken etc.) Kontrollrisiken (Qualität des IKS) Aufdeckungsrisiken (Komplexität Produkte, Prozesse, Systeme etc.) etc. Jahres-- Zielsetzungen Spezialaufgaben externe Mandate Aufträge Bankbehörden, Prüfungsausschuss Makroanalyse externe Risikotreiber: veränderte Wirtschaftsaussichten, Konkurrenzsituation, technologische und regulatorische Entwicklungen etc. interne Risikotreiber: wesentliche Änderungen in der ZKB-Strategie, grössere Reorganisationen, neue Geschäftsfelder etc. 12 ISACA After Hours Semiar - IT-Revisionsplanung & 6

7 Definitionen Operationelle Risiken nach Basel II Operationelle Risiken sind definiert als die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen oder Systemen oder in Folge von externen Ereignissen eintreten. IT Risiken IT Risiken sind definiert als die Gefahr von Verlusten, die im Business aufgrund von Verfügbarkeits-, Integritäts- oder Datenvertraulichkeits-Verletzungen von IT- Leistungen eintreten. 13 ISACA After Hours Semiar - IT-Revisionsplanung & Grundsätzlicher Methodenansatz 1 Leistungen im Prozessebenen- Modell manuelle, organisatorische Leistungen Eingabe Business-Layer (Geschäftsprozess) Verarbeitung manuelle / organisatorische Abwicklung Ausgabe applikationsbezogene Leistungen Applikations-Layer automatisierte / programmierte Abwicklung IT-gestützte Leistungen* applikationsunabhängig bezogene Leistungen = generelle IT- Leistungen Infrastruktur-Layer (IT-Ressourcen: Hardware/Systeme) *als Services bezogene IT-Dienstleistungen mit SLAgesicherten Verfügbarkeiten und Kontrollen 14 ISACA After Hours Semiar - IT-Revisionsplanung & 7

8 Grundsätzlicher Methodenansatz 2 Ermittlung Kombiniertes Risiko Inhärentes Risiko Tiefer Reifegrad Kontrollrisiko Mittel Reifegrad Höher Reifegrad Tiefer Minimal Keine Prüfung Moderat Plausibilisierung Mittel Prüferische Durchsicht Höher Moderat Plausibilisierung Mittel Prüferische Durchsicht Maximal Prüfung 15 ISACA After Hours Semiar - IT-Revisionsplanung & Risikoorientierte Revisionsplanung der IT-Revision Risikoportfolio Auswahl Follow up Risikobewertung Daten Risikobewertung IT-Prozesse Jährliche Prüfungsplanung Regulatorische Pflichtprüfungen Art. 44o BankV SWX etc. Prüfungen Fachrevision IT-Applikationen gemäss Prüfungsplanung Fachrevisionen Risikobewertung Applikationen Risikobewertung Basisinfrastruktur Auswahl Projektbegleitungen 16 ISACA After Hours Semiar - IT-Revisionsplanung & 8

9 Ziele ROPP Basisinfrastruktur Die Risikobeurteilung vorfolgt zwei Ziele: 1. Bilden einer Grundlage für die Mehrjahresplanung von Prüfungen im Rahmen der Basisinfrastruktur. 2. Ermitteln von Kennzahlen, die den Einfluss der Basisinfrastruktur auf die Applikationen und Daten der ZKB und damit indirekt auf die Geschäftsprozesse ergibt. 17 ISACA After Hours Semiar - IT-Revisionsplanung & Risikobestimmung Basisinfrastruktur CISA-Elemente W'keit In % Gefährdung Daten Applikationen Auswirkungen Technologien Massnahmen/ Feststellungen Infrastruktur Personal Zw Ef Vt In Vf Eh Vl SFr. Zahl Zahl Std CobiT-Prozesse Zw = Zweckmässigkeit Ef = Effizienz Vt = Vertraulichkeit In = Integrität Vf = Verfügbarkeit Eh = Einhaltung Vl = Verlässlichkeit Risiko = Eintretenswahrscheinlichkeit x Auswirkung 18 ISACA After Hours Semiar - IT-Revisionsplanung & 9

10 Ziele ROPP Applikationen Pro Applikation werden mehrere Risk Scores zu IT-Risiken und IT- Kontrollen mittels Indikatoren ermittelt: Die Fachrevision integrieren diese Werte via die Applikationen in das Risk Score der Geschäfte*. *Geschäft = AT (Audit Type) der Fachrevision Applikationspriorisierung aus Geschäftsoptik. Die IT-Revision ermittelt die Risk Scores aus reiner IT-Sicht. Applikationspriorisierung aus IT-Optik. In den Werten einer Applikation werden die Beurteilungen der IT-Prozesse, Informationen (Daten), Infrastruktur (Technik, Anlagen) sowie Personal via Auswahl der Indikatoren indirekt subsumiert und noch nicht direkt mittels Risk Scores-Ansatz integriert. 19 ISACA After Hours Semiar - IT-Revisionsplanung & Ergebnis für die Fachrevision Pro Applikation werden Risk Scores* ermittelt für das inhärente IT-Risiko bezüglich Integrität das inhärente IT-Risiko bezüglich Verfügbarkeit das Versagensrisiko der IT-Kontrollen bezüglich Integrität das Versagensrisiko der IT-Kontrollen bezüglich Verfügbarkeit * Werteskala: 1=hohes 5=tiefes inhärentes IT-Risiko resp. 1=hohes 5=tiefes Versagensrisiko der IT-Kontrolle (1=nicht wirksame, 5=wirksame Kontrolle) 20 ISACA After Hours Semiar - IT-Revisionsplanung & 10

11 Ergebnis für die IT-Revision Pro Applikation werden Risk Scores* ermittelt für den IT-Appl.-Faktor (ungewichtet) den IT-Appl.-RiscScore (gewichtet nach Appl.Klassifikation) den Fach-Appl.-RiskScore (gewichtet nach Fachrevision) die Gesamtprüfrelevanz (Prüfstrategie) zur risikoorienten Priorisierung. * Werteskala: 1=hohes 5=tiefes inhärentes IT-Risiko resp. 1=hohes 5=tiefes Versagensrisiko der IT-Kontrolle (1=nicht wirksame, 5=wirksame Kontrolle) 21 ISACA After Hours Semiar - IT-Revisionsplanung & Auswahl der Indikatoren Die Beurteilung der ausgewählten IT-Risiken und IT-Kontrollen basiert auf in der ZKB verfügbaren, messbaren Indikatoren. Diese ist somit nachvollziehbar (nicht subjektiv). Basis Applikationsrisikoassessment der Informatik (24 Themen zu 92 Indikatoren) Mit Hilfe von CobiT wurden die passenden Indikatoren für das inhärente IT-Risiko wie auch für die IT-Kontrollen bestimmt. 22 ISACA After Hours Semiar - IT-Revisionsplanung & 11

12 Verwendete Indikatoren pro COBIT-Prozess Inhärent Applikations-Bewertung Inhärente IT-Risiken IT-Kontrollen Integrität Verfügbarkeit DS 11 Datenmanagement DS 5 Datensicherheit AI 6 Änderungswesen DS 4 Katastrophenvorsorge Bussinessdatenkorrekturen Datenlead Datenhaltung dezentral Vertraulichkeit Externe Kommunikation Sicherheitsanforderungen Änderungsintervall Abhängigkeit zu Umsystemen Relevanz für Umsysteme 23 ISACA After Hours Semiar - IT-Revisionsplanung & Verwendete Indikatoren pro COBIT-Prozess IT-Kontrollen Applikations-Bewertung Inhärente IT-Risiken Integrität IT-Kontrollen Verfügbarkeit DS 11 Datenmanagement DS 5 Datensicherheit AI 6 Änderungswesen DS 4 Katastrophenvorsorge Archivierung Aufzeichnung (Logging) Datenvalidierung Schnittstellenabstimmung Authentisierung Zugriffsschutz Autorisierung Verschlüsselung IT-Prozesse Changes Releases Anforderungen Kompensation ICT-System und Gebäude Notfallarbeitsplatz SE 24 ISACA After Hours Semiar - IT-Revisionsplanung & 12

13 Inhärenter Indikator für AI 6 Änderungswesen COBIT: Minimierung der Wahrscheinlichkeit von Unterbrüchen, unberechtigten Änderungen und Fehlern. Idee: Möglichkeit für Änderungen ohne Kontrolle, Anzahl Emergency Fixes (DLK...), Anzahl Standard Änderungen (DLK 4..), Anzahl Anforderungen an die Applikation. OpRisk: Änderungsintervall in der Produktion. Je öfter eine Applikation geändert wird, desto öfter passieren Fehler. 25 ISACA After Hours Semiar - IT-Revisionsplanung & Kontroll-Indikator für AI 6 Änderungswesen COBIT: Konfigurationsmanagement (KM), Versionenverwaltung, Software-Verteilung. Idee: Einhaltung des KM, Durchführen von Tests, IT-Betrieb nicht durch Engineering. OpRisk: IT-Prozesse für Changes, Releases, Anforderungen. Fünf unabhängige Massnahmen, welche ein ideales Vorgehen bei Änderungen beschreiben. Durchschnitt der fünf Werte 26 ISACA After Hours Semiar - IT-Revisionsplanung & 13

14 These 3 Die IT-Revision kann der Fachrevision die geforderte Bestätigung nur dann gezielt abgeben, wenn die Fachrevision ihre Ansprüche in IT-bezogenen Prüfzielen stellt. 27 ISACA After Hours Semiar - IT-Revisionsplanung & Prüfungsvorbereitung Prüfauftrag Prüfobjekt, Prüfziele, Deliveries Verantwortlichkeiten, wichtigste Kontaktpersonen, Berichtsempfänger Zeit- & Budget-Vereinbarung, voraussichtlich benötigte Audit-Ressourcen Informationsbeschaffung IT-Organisation, IT-Sicherheitskonzepte, Netzwerk, BCP, IT-Architektur IT-Inventar, Räumlichkeiten & Stockwerk-Pläne, Job-Beschreibungen, A/K/V Entwicklungs- und Betriebs-Prozesse, Incident/Problem-Handling & ChangeMgmt- Prozesse Prüfplan Zeitplan für die Abwicklung der Prüfungshandlungen, Auswertung und Berichterstattung Fragekatalog inklusive Interview-Partner & -Timing Personelle Zusammensetzung und Ablaufplan für allfällige Self Assessments Vorgehensweise bei Einhalteprüfungen, Stichprobenwahl Kickoff Vorstellung Audit-Team, Prüfbereich/-ziele, zeitlicher Ablauf, Self Assessment Methode 28 ISACA After Hours Semiar - IT-Revisionsplanung & 14

15 Auswahl der CobiT IT-Prozesse Domain ID Prozess Anz Zweckmässigkeit Effizienz Vertraulichkeit Integrität Verfügbarkeit Einhaltung Verlässlichkeit Personal Anwendungen Technologien Infrastruktur Daten Planung & PO1 Strategische IT-Planung 8 P S x x x x x Organisation PO2 IT-Architektur 4 P S S S x x PO3 Technologische Stossrichtung 5 P S x x PO4 Informatik-Organisation und Beziehungen 15 P S x PO5 IT-Finanzplanung 3 P P S x x x x PO6 Kommunikation der Ziele und Weisungen 11 P S x PO7 Personalmanagement 8 P P x PO8 Einhaltung externer Anforderungen 6 P P S x x x PO9 Risikomanagement 8 S S P P P S S x x x x x PO10 Projektmanagement 13 P P x x x x PO11 Qualitätsmanagement 19 P P P S x x Beschaffung & AI1 Prüfen verschiedener Lösungsvarianten 18 P S x x x Einführung AI2 Beschaffung und Wartung von Applikationen 17 P P S S S x AI3 Beschaffung und Wartung der techn. Infrastruktur 7 P P S x AI4 Entwicklung und Unterhalt von Betriebsanweisungen 4 P P S S S x x x x AI5 Installation und Abnahme 14 P S S x x x x x AI6 Änderungswesen (Changemanagement) 8 P P P P S x x x x x Betrieb & DS1 Festlegen der Systemanforderungen 7 P P S S S S S x x x x x Support DS2 Beanspruchung externer Dienste 8 P P S S S S S x x x x x DS3 Performance und Kapazitätskontrolle 9 P P S x x x DS4 Katastrophenvorsorge 13 P S P x x x x x DS5 Datensicherheit 21 P P S S S x x x x x DS6 Kostenkontrolle 3 P P x x x x x DS7 Schulung und Weiterbildung 3 P S x DS8 Anwenderunterstützung und Beratung 5 P x x DS9 Konfigurationsmanagement 8 P S S x x x DS10 Problemmanagement 5 P P S x x x x x DS11 Datenmanagement 30 P P x DS12 Infrastruktursicherheit 6 P P x DS13 Operating 8 P P S S x x x x Überwachung M1 Prozessüberwachung 4 P S S S S S S x x x x x M2 Angemessenheit Interner Kontrollen 4 P P S S S S S x x x x x 29 ISACA After Hours Semiar - IT-Revisionsplanung & Zuordnung: Prüfziel Kontrollziel Prüfziele (Kriterien, Resourcen)+Prüfobjekte Aussagen zu den Prüfzielen...werden aufgeteilt in......werden zusammengefasst in... IT-Prozesse Aussagen zu IT-Prozessen...werden aufgeteilt in......werden zusammengefasst in... Kontrollziele/ Gegenstände Aussagen zu Kontrollzielen/ Gegenständen Prüfung der Gegenstände im Bezug auf Kontrollziele 30 ISACA After Hours Semiar - IT-Revisionsplanung & 15

16 These 4 Die Prüfungen auf Wirksamkeit der IT-Kontrollen scheitern daran, dass die IT-Kontrollen meist nicht oder schlecht dokumentiert sind. 31 ISACA After Hours Semiar - IT-Revisionsplanung & Prüfungsdurchführung Methodik Prüferische Durchsicht, Walkthrough Einhalteprüfung, Prozessprüfung Control Self Assessment (CSA): Identifikation der Risiken und Kontrollen, Bewertung der Angemessenheit der Risiken und Kontrollen Ausführen der Prüfungshandlungen Abarbeiten des Prüfplans Festhalten der Ergebnisse Bewerten und priorisieren der Ergebnisse Dokumentation Nachweispflicht: Prüfungsergebnisse und Bewertungen sind durch entsprechende Analysen und Interpretationen des Materials zu belegen. Tools CobiT Framework Anleitungen, Checklisten und strukturierte Arbeitspapiere Prozess- Applikations-, Betriebs-, Anwenderhandbücher etc. persönliche, schriftliche, telefonische Interviews offene und verdeckte Beobachtungen 32 ISACA After Hours Semiar - IT-Revisionsplanung & 16

17 Kontrollen aus Sicht Informatik Anforderungen an die Kontrollen (vom Fachbereich zu liefern) - Qualität (Zweckmässigkeit, Effizienz) - Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) - Ordnungsmässigkeit (Einhaltung, Verlässlichkeit) selbsttätige Prüfungen in der Geschäftsabwicklung IT-gestützt manuell organisatorische Kontrolle Appl.abhängig: automatische, programmierte Appl.unabh.: als Service bezogene Führungskontrollen im Informatikprozess Management - Prozesse Leistungserstellungs- / Support- Prozesse Ressourcen Personal Applikationen Infrastruktur Daten Umsetzung der Kontrollen (durch die IT zu erstellen) 33 ISACA After Hours Semiar - IT-Revisionsplanung & Vorgabe Compliance Reglement über die Funktion Compliance (Compliance Reglement) der ZKB 1 Compliance ist einerseits die Übereinstimmung des Verhaltens und der Handlungen der Bank und der Mitarbeitenden mit den für sie geltenden Normen des Rechts und der Ethik und andererseits die Gesamtheit aller organisatorischen Massnahmen zur Verhinderung von Gesetzesverletzungen und Verstössen gegen Regeln und Normen der Ethik durch die Bank, deren Organe und deren Mitarbeitende. Rundschreiben der Eidg. Bankenkommission: EBK-RS 06/6 "Überwachung und interne Kontrolle" Rz 97 Als Compliance (Normeneinhaltung) gilt das Einhalten von gesetzlichen, regulatorischen und internen Vorschriften sowie die Beachtung von marktüblichen Standards und Standesregeln. Rz 98 Als Compliance-Risiko gilt das Risiko von Verstössen gegen Vorschriften, Standards und Standesregeln und entsprechenden rechtlichen und regulatorischen Sanktionen, finanziellen Verlusten oder Reputationsschäden. 34 ISACA After Hours Semiar - IT-Revisionsplanung & 17

18 Umsetzung IT-Revision Lückenlos nachvollziehbar - d.h. dokumentiert - müssen sämtliche Compliancerelevanten Handlungen (Aktivitäten) und Ergebnisse aller innerhalb der in der ZKB (Konzern) definierten und ausgeübten Prozesse (entlang der Prozesskette) sein. Dies unter der Einhaltung folgender Rahmenbedingungen an die aufgezeichneten Informationen (Daten und Dokumente): Nachweis der Integrität der aufgezeichneten Informationen (= Echtheit, Unverfälschbarkeit, Vollständigkeit und Lückenlosigkeit) Korrekte Aufbewahrung (sorgfältig, geordnet, geschützt, mit festgelegter Dauer, mit festgelegter Verantwortlichkeit) Verfügbarkeit (einsehbar und auswertbar innert angemessener Frist) Übereinstimmung der Dokumente mit dem zu Grunde liegenden und eindeutig referenzierten Auftrag (d.h. sowohl interne wie externe Anforderungen, Unterlagen einzelnen Geschäftsvorfällen zuordnen zu können) Zugriffsschutz und Zugriffskontrolle (need to know) Dokumentation von Organisation, Zuständigkeit, Abläufen, Verfahren und Infrastruktur für die Aufzeichnung (Aufbewahrung analog den aufgezeichneten Informationen selbst) 35 ISACA After Hours Semiar - IT-Revisionsplanung & These 5 Der IT-Revisor muss viele Empfängerbedürfnisse erfüllen können. Die Berichterstattung der IT-Revision kommt daher der Quadratur des Kreises gleich. 36 ISACA After Hours Semiar - IT-Revisionsplanung & 18

19 Arbeitspapiere der Informatik-Revision Audit, Audit geprüfte, Management Audit, Audit Informatik Bereiche des gepr. Bankpräsidium, Informatik Bereichs Geschäftsleitung Einzelberichte Prüfauftrag Arbeitspapiere Prüfplan (Planungsmemo) Revisionsbericht mit Anhang 37 ISACA After Hours Semiar - IT-Revisionsplanung & Die Werkzeuge Hauptfunktion Risikoanalyse ROPP (Access), Excel Prüfungsplanung Wordvorlagen, Excel Prüfung/Revision Wordvorlagen, Excel Berichterstattung Wordvorlagen generell Aufbewahrung Adobe PDF , Termine Lotus Notes Secure Webmail BerichtsdatenbankAccess Zeiterfassung Priska, Excel Mathematica Modellabnahme Mathlab Protototyping FinCad Bewertung Finanzprodukte Monitoring Tool Neue Produkte im Handel Informatik Visio IBO SAS ACS ASY Intranet cmdb CheckAud "read" Prozesse, Systemübersichten Prozesse Datenauswertung Berechtigungen Archiv Weisungen Systemkonfiguration SAP Analyse lesender Zugriff in Applikationen 38 ISACA After Hours Semiar - IT-Revisionsplanung & 19

20 Berichterstattung Der Schlussbericht ist den designierten (sachkundigen) Berichtsempfängern in einer empfängergerechten Form vorzulegen. Im Bericht sind vermerkt: die geprüften Organisationseinheiten (Verantwortlichkeiten) die Empfänger des Berichts allfällige Verwendungsbeschränkungen Aus diesem Bericht müssen hervorgehen: Ziele, Art und Umfang der durchgeführten Prüfungshandlungen hervorgehen die wesentlichen Prüfungsfeststellungen Folgerungen (Plausibilität) Empfehlungen der Revision und Stellungnahmen des Managements Vorbehalte oder Einschränkungen bezüglich Umsetzung 39 ISACA After Hours Semiar - IT-Revisionsplanung & Übersicht über die Elemente Die Berichterstattung bestehend aus Revisionsbericht Der Revisionsbericht enthält eine Zusammenfassung der wesentlichen Feststellungen. Wesentliche Feststellungen sind nicht a priori nur Beanstandungen. Positive Prüfungsergebnisse (bspw. Stärken, hoher Gütegrad des IKS) gehören auch dazu. Einzelbericht Wesentliche negative Feststellungen werden in Form von Einzelberichten rapportiert und im "Audit Tracking" überwacht. Anhang zum Revisionsbericht Sachverhalte von geringer Bedeutung werden gerafft im Anhang zum Bericht dargestellt (ohne Überwachung im "Audit Tracking"). 40 ISACA After Hours Semiar - IT-Revisionsplanung & 20

21 These 6 Die fristgerecht Erledigung der Revisionspendenzen ist eine Managementaufgabe. Denn die Fristen sind dem permanenten Druck der wechselnde Prioritäten der Fachstellen ausgesetzt. 41 ISACA After Hours Semiar - IT-Revisionsplanung & Pendenzenverwaltung - Nachschauprüfung Ablage der Pendenzen im Massnahmen-Repository Prüfungs-Metadaten: Prüfungs-Typ, -Zeitpunkt, -Nr, etc. Festgelegte Massnahme: Wortlaut, Fälligkeit, umsetzungsverantwortliche Stelle/Person, Status Historisierung der Veränderungen bezüglich Fälligkeit, Verantwortlichkeit, Umsetzungsmethode Filterbarkeit der Pendenzen nach Kriterien wie Prüfungs-Metadaten, Fälligkeit, Umsetzungsstatus der Massnahme, umsetzungsverantwortliche Stelle Im Nachgang zu den Revisionsarbeiten muss der Informatikrevisor die für die Befunde, Empfehlungen und Folgerungen der Revision relevanten Informationen anfordern und auswerten, um festzustellen, ob die erforderlichen Massnahmen termingerecht umgesetzt worden sind. Follow-up Verifikation der Erledigungsmeldungen Verifikation des Erledingungsstandes der übrigen Pendenzen Neubeurteilung der Pendenzen aufgrund veränderter Rahmenbedingungen Ergänzung der Pendenzen mit neuen Follow-up-Erkenntnissen 42 ISACA After Hours Semiar - IT-Revisionsplanung & 21

22 These 7 Die Projektbegleitung ist aus Sicht der Geschäftsleitung der wirkungs-vollste Beitrag der Revision. Da sich die Prüfungshandlungen schwer nachweisen lassen und der Revisor stets der Problematik der Unabhängigkeit ausgesetzt ist, wird sie bei der Revisionsleitung wenig geschätzt. 43 ISACA After Hours Semiar - IT-Revisionsplanung & Projektbegleitung Ordnungsmässigkeit und Sicherheit Kontrollen (IKS) Überwachung und Steuerung Ordnungsmässigkeit und Compliance mit Gesetzen, Weisungen, Richtlinien, Standards etc.) Prüfspuren & Nachprüfbarkeit Dokumentation Sicherheit (Daten, Prozesse) Zweckmässigkeit und Qualität Effektivität (Wirksamkeit) Effizienz (Wirtschaftlichkeit, Kosten/Nutzen) Umsetzungsgrad der Anforderungen (User, Standards) Qualitätssicherung Stakeholdereinbezug Potentielle Prüfbereiche Alle Projekte gemäss IT-Planung Technologie System-Engineering Projektcontrolling Projektmanagement Datenmanagement IT-Architektur Grundsatz: Die Unabhängigkeit der Revision bleibt oberstes Gebot. Der Revisor darf in keiner der aufgeführten Varianten am Entscheidungsprozess oder an der Ausübung interner Kontrollen beteiligt sein oder werden. 44 ISACA After Hours Semiar - IT-Revisionsplanung & 22

23 Vorgehen zur Bestimmung des Programms Auftraggeber und die Informatik-Revision vereinbaren gemeinsam die projektbegleitenden Themen anhand der Checkliste der Leistungsanforderungen, zu denen eine Aussage durch die Revision erwartet wird resp. attestiert werden soll. Auswahl und Zuordnung der CobiT -Prozesse und weiterer Grundlagen (Checklisten) zu den projektbegleitenden Themen. Auswahl der Kontrollziele anhand der identifizierten CobiT - Prozessen. Zuordnung der relevanten Lieferobjekte zu den ausgewählten Kontrollzielen (themengruppiert). Plausibilisierung / kritische Durchsicht der relevanten Lieferobjekte und Berichterstattung in standardisierter Form pro projektbegleitende Thema. 45 ISACA After Hours Semiar - IT-Revisionsplanung & These 8 SAP ist keine Standardlösung sondern ein Baukastensystem mit Standardbausätzen. Daher gleicht keine Installation der anderen. 46 ISACA After Hours Semiar - IT-Revisionsplanung & 23

24 Prüfung Standardsoftware/-lösungen 1/2 am Beispiel SAP SAP-Spezifikas: Jedes SAP-System verfügt über ein komplette IT-Umgebung Jedes SAP-System benötigt des SAP-Basissystem, kann aber mehrere Module, Mandanten umfassen SAP-Systeme werden zu logischen Reihen verbunden (C, T, Q, P) Alle Objekte (Daten, Programme, Parameter, etc.) werden in Tabellen hinterlegt Customizing erfolgt mehrheitlich durch Berater, die auf Module spezialisiert sind Komplexe Rollen- und Berechtigungsverwaltung bis auf Stufe Attribut Systemreihen sind untereinander mit Datenschnittstellen verbunden (integriert) 47 ISACA After Hours Semiar - IT-Revisionsplanung & Prüfung Standardsoftware/-lösungen 2/2 am Beispiel SAP Einführung in den Fachstellen oft als Ersatz für Excel/Access an der IT vorbei SAP oft nicht Gegenstand des Sicherheitsprogramms der IT Know how bei der eigenen IT fehlt Beherrschung der Komplexität erfordert Expertenwissen und Toolunterstützung Grenze zwischen Entwicklung und betrieblicher Veränderung oft verschwommen 48 ISACA After Hours Semiar - IT-Revisionsplanung & 24

25 SAP ist eine komplexe Systemlandschaft (Baukastensystem mit individuellen, parametrisierbaren Standardbausteinen) SAP-Module P11 P11 P11 Datenbank Betriebssystem P11 SAP-Basis P11 Mandanten SAP-Module Produktion P11 49 ISACA After Hours Semiar - IT-Revisionsplanung & Q S Q11 FI,MM,SD,CFM, CO,PS,RE,SEM Q S T e s t Entwicklung T e s t Produktion FS-AM P14 Q S Q40 Entwicklung T e s t Produktion BW P40 Produktion Q S Entwicklung T e s t Entwicklung Q S T e s t Systemreihe Produktion Entwicklung These 9 Mit dem Dienstleistungszentrum organisiert sich die Interne Revision neu: Der Datenfluss-/Applikationsprüfer integriert mit den Application Controls in die Fachrevision. Der IT-Prozess-/Infrastrukturprüfer erstattet Bericht zu den General IT Controls nach PS 402- / SAS ISACA After Hours Semiar - IT-Revisionsplanung & 25

26 Programm ZuVa: Die ZKB setzt ihre Strategie um Kooperationspartner Gemeinsames Unternehmen Kooperationsvertrag Dienstleistungszentrum für Informatik und Backoffice Qualitativ hochwertige IT- und Backoffice-Dienstleistungen zu wettbewerbsfähigen Preisen Weitgehende Vereinheitlichung der Produkte, Prozesse und Plattformen (Systeme) Einsparungen in Höhe von 20 Prozent (Skaleneffekt) Sitz in Zürich und Betriebsstätte in Lausanne Rund 1300 Arbeitsplätze davon ca. 250 in Lausanne 51 ISACA After Hours Semiar - IT-Revisionsplanung & Das IT-Führungsmodell neu ab ZKB ZKB ZuVa Steuerungsausschuss (ZKB ZuVa STA) * Business-Architekt (Bankfachliches Soll-Modell) ** IT-Strategie Vertrieb PPA PPO PPA PPO Anlagen PPA PPO ZKB Logistik (auszugliedernde Bereiche) IT-Architektur und Planung Investment Banking PPA PPO PPA PPO PPA PPO Backoffice Services (Produktion) Geldverkehr Finanzierungen Banksteuerung Supportprozesse PPA PPO IT-Controlling (inkl. Planung und Abrechnung) IT-Projekte und Entwicklung (Change the Bank) IT-Betrieb und Infrastruktur (Run the Bank) * Bis Abschluss Programm ZuVa stellt STA ZuVa die Umsetzung sämtlicher ZuVa-relevanten Anforderungen sicher 52 ISACA ** Bis After zum Hours Aufbau Semiar DLZ - IT-Revisionsplanung in IT-Architektur und & Planung angesiedelt; 29. April anschliessende 2008 Überführung in die Bank 26

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Inhaltsverzeichnis. 4.1 Zweck des Leitbildes... 26 4.2 Präambel... 26 4.3 Leitbild... 27

Inhaltsverzeichnis. 4.1 Zweck des Leitbildes... 26 4.2 Präambel... 26 4.3 Leitbild... 27 Vorwort... 5 1 Grundlagen der Internen Revision... 13 2 Implementierung einer Internen Revision... 14 2.1 Allgemeines... 14 2.2 Ausgangslage... 14 2.3 Gründe für die Implementierung... 14 2.4 Trends in

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Zukunftsfähige Software-Architektur für das Kundenreporting einer Universalbank

Zukunftsfähige Software-Architektur für das Kundenreporting einer Universalbank Zukunftsfähige Software-Architektur für das Kundenreporting einer Universalbank BMPI-Trends im Client-Reporting Zürich, 13.09.2007 Autor: Stefan Lenz Email-Adresse: stefan.lenz@zkb.ch ÖFFENTLICH Inhaltsübersicht

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Zusammenfassung und Abschluss

Zusammenfassung und Abschluss ISACA/SVIR-Fachtagung Erfolgreiche Zusammenarbeit zwischen interner und externer (IT-) Revision Zusammenfassung und Abschluss Peter R. Bitterli, Ausbildungsverantwortlicher ISACA-CH Eine persönliche Zusammenfassung

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System 7. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2011 DI Markus Hefler, BSc, Florian Hausleitner 1 Agenda 1. Kurze Vorstellung

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Risiken auf Prozessebene

Risiken auf Prozessebene Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung!

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! IBS - Smart Repair Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! Festpreis (Nach individueller Bedarfsanalyse) www.ibs-schreiber.de IBS

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you.

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you. Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002 Manfred Scholz, CISA Manfred.Scholz@sec4you.com Internet Banking aus der Sicht eines Prüfers Anforderungen

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Fall 1: Keine Übersicht (Topographie)

Fall 1: Keine Übersicht (Topographie) Fall 1: Keine Übersicht (Topographie) Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-1: Keine Übersicht (Topographie) a) Darstellung der wesentlichen Geschäftsprozesse

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

QI SERVICES. QI RISK.

QI SERVICES. QI RISK. QI SERVICES. QI RISK. 3/7/2014 1 Agenda QI Services Qi Risk Rechtliches Umfeld QI Risk Audit Auf einen Blick Ihr Nutzen Risk Scan 3/7/2014 2 QI Services Mit der Produktgruppe QI Services unterstützen wir

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage dpunkt.verlag 1 Einleitung 1 Teill COBIT verstehen 5 2 Entwicklung

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Fall 8: IKS-Prüfung nicht dokumentiert

Fall 8: IKS-Prüfung nicht dokumentiert Fall 8: IKS-Prüfung nicht dokumentiert Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-8: IKS-Prüfung nicht dokumentiert a) Die Prüfung des IKS wurde nicht dokumentiert

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Stefan Hunziker Hermann Grab

Stefan Hunziker Hermann Grab Emilio Sutter Stefan Hunziker Hermann Grab IKS-Leitfaden Emilio Sutter Stefan Hunziker Hermann Grab IKS-Leitfaden Internes Kontrollsystem für staatlich finanzierte NPOs Unter Mitwirkung von: Christian

Mehr

Das Oracle Release- und Patch- Management unter ITIL in der Praxis

Das Oracle Release- und Patch- Management unter ITIL in der Praxis Das Oracle Release- und Patch- Management unter ITIL in der Praxis Kunde: DOAG Ort: Stuttgart Datum: 03.06.2008 Reiner Wolf, Trivadis AG Reiner.Wolf@trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

COBIT 5/ITIL-Convergence?

COBIT 5/ITIL-Convergence? IT-Tagung 2012 COBIT 5/ITIL-Convergence? Massood Salehi 1 Agenda Ursachen für den fehlenden Gorvernance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb Parallelen und Unterschiede

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

MyProcess AG Kurzprofil

MyProcess AG Kurzprofil MyProcess AG Kurzprofil MyProcess AG, Lachen, CH-8853, Schweiz Positionierung Die MyProcess AG hat Kernkompetenzen auf allen wesentlichen Gebieten der Software-Entwicklung auf Basis neuer Technologien.

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

ITIL im öffentlichen Sektor Praxisbericht Stadt Köln Amt für Informationsverarbeitung

ITIL im öffentlichen Sektor Praxisbericht Stadt Köln Amt für Informationsverarbeitung ITIL im öffentlichen Sektor Praxisbericht Stadt Köln Agenda Entwicklung der Einführungsplanung Best Practices der Stadt Köln Warum 14? Schulungskonzept Integration Configuration Die Stadt Köln 405,15 qkm

Mehr

Fall 6: Ungenügende Tests IT General Controls Application Controls

Fall 6: Ungenügende Tests IT General Controls Application Controls Fall 6: Ungenügende Tests IT General Controls Application Controls Bernhard Hamberger Partner Ernst & Young, Bern 6: Fehlende Prüfung der Existenz des IKS Aus den Arbeitspapieren geht hervor, dass die

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG

GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG 1 Agenda AMAG - Automobil und Motoren AG GRC Herausforderungen in der Praxis

Mehr

Modul 5: Service Transition Teil 1

Modul 5: Service Transition Teil 1 Modul 5: Service Transition Teil 1 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System

Qualität und Führung 18. Juni 2008. Integration IKS ins bestehende Management System Qualität und Führung 18. Juni 2008 Integration IKS ins bestehende Management System 0 Anuschka Küng Betriebsökonomin FH Zertifizierungen Six Sigma Zertifizierung Risiko Manager CISA, CIA (i.a.) CV Geschäftsführerin

Mehr

Volker Johanning. IT-Strategie. Optimale Ausrichtung der IT an das. Business in 7 Schritten. ^ Springer Vieweg

Volker Johanning. IT-Strategie. Optimale Ausrichtung der IT an das. Business in 7 Schritten. ^ Springer Vieweg Volker Johanning IT-Strategie Optimale Ausrichtung der IT an das Business in 7 Schritten ^ Springer Vieweg Inhaltsverzeichnis Teil I Einleitung und Grundlegendes zur IT-Strategie Einführung in das Thema

Mehr

RISIKOMANAGEMENT IM UNTERNEHMEN

RISIKOMANAGEMENT IM UNTERNEHMEN RISIKOMANAGEMENT IM UNTERNEHMEN Studie zum Einsatz von Risikomanagement-Vorgehensweisen in Unternehmen Risikomanagement ist ein wesentlicher Bestandteil der Unternehmensführung. Aber in welchen Firmen

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 PKF Industrie- und Verkehrstreuhand GmbH Wirtschaftsprüfungsgesellschaft, München

Mehr

InterimIT GmbH. Interimsmanagement Managementberatung IT-Analyse und Auditierung. Vakanzen strategisch nutzen, Veränderungen verlässlich gestalten.

InterimIT GmbH. Interimsmanagement Managementberatung IT-Analyse und Auditierung. Vakanzen strategisch nutzen, Veränderungen verlässlich gestalten. Interimsmanagement Managementberatung IT-Analyse und Auditierung Vakanzen strategisch nutzen, Veränderungen verlässlich gestalten. Matthias Burgardt Geschäftsführender Gesellschafter Haneschstr. 12, 49090

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Risikomanagement zahlt sich aus

Risikomanagement zahlt sich aus Risikomanagement zahlt sich aus Thurgauer Technologieforum Risikobeurteilung - Was bedeutet das für meinen Betrieb? Tägerwilen, 19.11.2008 1 Ausgangslage (1) Jede verantwortungsbewusste Unternehmensleitung

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr

Das Interne Kontrollsystem 11.11.2011 Anuschka Küng

Das Interne Kontrollsystem 11.11.2011 Anuschka Küng Das Interne Kontrollsystem 11.11.2011 Anuschka Küng Acons Governance & Audit AG Herostrasse 9 8047 Zürich Tel: +41 (0) 44 224 30 00 Tel: +41 (0) 79 352 75 31 1 Zur Person Anuschka A. Küng Betriebsökonomin

Mehr

In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen

In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen S e i t e 3 Internes Kontrollsystem (IKS ) In 12 Schritten zu wirksamen Kontrollen im mittelständischen Unternehmen Krzysztof Paschke 4 S e i t e IKS Definition Weitere Informationen zum Thema Governance

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel

IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel 1 IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel Peter Steuri Partner / Verantwortlicher CC Informatik BDO AG, Solothurn Einsatz des VM IT-RA in WP-Mandaten Inhaltsübersicht Modell von

Mehr

MaRisk. Beratung zu MaRisk AT 7.2

MaRisk. Beratung zu MaRisk AT 7.2 MaRisk Beratung zu MaRisk AT 7.2 Ausgangssituation Komplexität meistern! Handlungsbedarf ergibt sich vor allem für den Einsatz von selbsterstellten Anwendungen. Darunter fallen nicht nur klassische Softwareprogramme,

Mehr

Projekt Management Office für IT-Projekte. Werner Achtert

Projekt Management Office für IT-Projekte. Werner Achtert Projekt Management Office für IT-Projekte Werner Achtert Ziele und Agenda Ziel des Vortrags Vorstellung eines Konzepts zum Aufbau eines Projekt Management Office Agenda Rahmenbedingungen für IT-Projekte

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Allgemeine Regelungen 0-1

Allgemeine Regelungen 0-1 AR 0-1 Allgemeine Regelungen 0-1 Richtlinien für die Interne Revision der Deutschen Bundesbank (Revisionsrichtlinien) Inhaltsübersicht 1 Grundlagen 2 Verantwortung und Ziele 3 Stellung 4 Befugnisse 5 Grundsätze

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 ISMS bei DENIC Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 Agenda Kurzvorstellung DENIC eg ISMS bei DENIC Entwicklung des ISMS bei DENIC Risikomanagement im Bereich Information

Mehr

Outsourcing kaufmännischer Aufgaben

Outsourcing kaufmännischer Aufgaben Outsourcing kaufmännischer Aufgaben speziell für Existenzgründer und kleine Unternehmen 7-it Forum am 1.12.2003 Outsourcing Fragen Was ist eigentlich Outsourcing? Für welche betrieblichen Aufgaben ist

Mehr