Institut für Sicherheit im E-Business (ISEB)

Größe: px
Ab Seite anzeigen:

Download "Institut für Sicherheit im E-Business (ISEB)"

Transkript

1 Institut für Sicherheit im E-Business (ISEB) Nr. 26 Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis Jochen Wiedemann Bochum, Juli 2007

2

3 Ruhr-Universität Bochum Institut für Sicherheit im E-Business (ISEB) Mit der zunehmenden Verbreitung der Informations- und Kommunikationstechniken haben auch die Abhängigkeiten und Risiken deutlich zugenommen. Die weltweite Vernetzung zwischen und innerhalb der Unternehmungen birgt vielfältige und neuartige Risiken. Das Thema Sicherheit im E-Business entwickelt sich daher zunehmend von einer unterschätzten Gefahr zu einem Schlüsselfaktor für den Erfolg im Electronic-Business. Die Fakultät für Wirtschaftswissenschaft an der Ruhr-Universität Bochum begegnet dieser Herausforderung durch die Tätigkeiten im Institut für Sicherheit im E-Business (ISEB) als Partner des Horst Görtz Instituts (HGI) und als Teil des eurobits. Das Institut ISEB verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu erforschen und dadurch einen Beitrag zur Entwicklung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen zu leisten. Im Vordergrund stehen dabei ökonomische Analysen und organisatorische Gestaltungsaufgaben. Es werden einerseits ausgewählte Problemstellungen der jeweiligen Disziplinen analysiert, wie z. B. die Sicherheit im E-Commerce bzw. in E-Logistik-Anwendungen oder die volkswirtschaftlichen Kosten und Risiken unsicherer Datennetze, andererseits aber auch interdisziplinäre Fragestellungen behandelt. Neben Aktivitäten in Forschung und Lehre werden auch ein intensiver Austausch und Kooperationen mit Unternehmungen und öffentlichen Institutionen angestrebt. Am Institut für Sicherheit im E-Business beteiligen sich zur Zeit die Lehrstühle für Finanzierung und Kreditwirtschaft, für Unternehmensforschung und Rechnungswesen und für Wirtschaftsinformatik der Fakultät der Wirtschaftswissenschaft an der Ruhr-Universität Bochum sowie weitere Wirtschaftswissenschaftler, Juristen und Soziologen aus Wissenschaft und Praxis. Das Institut ISEB wird finanziell unterstützt durch die Horst Görtz Stiftung. Institut für Sicherheit im E-Business Ruhr-Universität Bochum Fakultät für Wirtschaftswissenschaft Gebäude GC 3/29 D Bochum Geschäftsführender Direktor: Prof. Dr. Roland Gabriel Ansprechpartner: Dipl.-Ök. Klaus Rüdiger Dipl.-Ök. Sebastian Sowa Lehrstuhl für Wirtschaftsinformatik Tel.: +49 (0) Fax: +49 (0)

4 Wiedemann, Jochen: Gestaltung von IT-Notfallvorsorge im Kontext des Risikomanagements Teil 1: Eine Analyse des Handlungsbedarfs in der betrieblichen Praxis Bochum: Institut für Sicherheit im E-Business (ISEB), 2007 ISBN Institut für Sicherheit im E-Business (ISEB), Ruhr- Universität Bochum, Bochum 2007 Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des öffentlichen Vortrags sowie der Übertragung durch Rundfunk und Fernsehen, auch einzelner Teile. Kein Teil dieses Werkes darf in irgendeiner Form ohne schriftliche Genehmigung des Instituts für Sicherheit im E-Business (ISEB), Ruhr-Universität Bochum reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

5 Vorwort Die Ruhr-Universität Bochum entwickelte im Jahre 1999 ein Konzept zur Bildung eines europäischen Kompetenzzentrums für IT-Sicherheit. Dieses Europäische Kompetenzzentrum für Sicherheit in der Informationstechnologie, eurobits e. V. genannt, ist innerhalb weniger Jahre zu einem europaweit herausragenden Standort für IT-Sicherheit geworden. Gründe dafür sind seine Interdisziplinarität und die enge Verzahnung von Forschung und Anwendung. Durch die Anbindung an die Ruhr- Universität Bochum fließen neueste wissenschaftliche Erkenntnisse direkt in die Praxis ein. Die Mitglieder von eurobits e. V. sind derzeit das Horst Görtz Institut für Sicherheit in der Informationstechnik (HGI), das Institut für Sicherheit im E-Business (ISEB), die Gesellschaft für IT-Sicherheit (GITS AG), die escrypt GmbH Embedded Security (escrypt GmbH) und die Projektgesellschaft für angewandte IT- Sicherheit mbh (GITS Projekt GmbH). Das im Jahr 2003 an der Fakultät für Wirtschaftswissenschaft der Ruhr-Universität Bochum gegründete Institut für Sicherheit im E-Business (ISEB) verfolgt das Ziel, die betriebs- und volkswirtschaftlichen Implikationen von Sicherheit im E-Business zu erforschen. Das Institut leistet einen Beitrag zur Entwicklung und zum Einsatz von sicheren und erfolgreichen E-Business-Lösungen. Neben den vielfältigen Forschungsaktivitäten und Kooperationen mit der Praxis sollen auch die IT-sicherheitsrelevanten Inhalte in der universitären Lehre angeboten werden. Mit dem vorliegenden 26. Arbeitsbericht setzt das Institut für Sicherheit im E-Business (ISEB) seine Schriftenreihe fort. In der Reihe wird in unregelmäßigen Abständen über Aktivitäten des Instituts berichtet, wozu neben der Publikation von Forschungsergebnissen auch Berichte über durchgeführte Projekte und Veranstaltungen gehören, die mit Unternehmungen bzw. öffentlichen Institutionen und Studierenden durchgeführt wurden.

6 Der Autor des vorliegenden Arbeitsberichtes Herr Dipl. Inform. Jochen Wiedemann * ist Mitglied des ISEB und externer Doktorand am Lehrstuhl für Wirtschaftsinformatik von Prof. Dr. Roland Gabriel. Der Arbeitsbericht wurde mit Unterstützung der Unternehmensberatung Accenture erstellt, wo Herr Wiedemann als Manager tätig ist. Der Forschungsschwerpunkt des Autors liegt im Bereich der ökonomischen Aspekte des IT-Risikomanagements und der Gestaltung von IT-Notfallvorsorge. Im vorliegenden Bericht untersucht der Autor den Handlungsbedarf in der betrieblichen Praxis im Hinblick auf IT-Notfallvorsorge. Dazu werden organisatorische Aspekte, theoretische Ansätze als auch offizielle Standards dargestellt und ausführlich bewertet. Bochum, Juli 2007 R. Gabriel K. Rüdiger S. Sowa * Dipl. Inform. Jochen Wiedemann Accenture GmbH Kaistraße Düsseldorf

7 III Abstract Die wertschöpfenden Geschäftsprozesse einer Unternehmung werden zunehmend abhängiger von einer hochverfügbaren Unterstützung durch Informationstechnik (IT). Aus diesem Grund ist der Einsatz präventiver als auch reaktiver Maßnahmen notwendig, um die ökonomische Auswirkung eines IT-Ausfalls zu begrenzen. Dabei kann die Gestaltung dieser Maßnahmen im Rahmen der sogenannten IT- Notfallvorsorge erfolgen, welche in das betriebliche IT-Risikomanagement eingebettet ist. Betrachtet man diese Gestaltung aus dem Blickwinkel der betrieblichen Praxis unter Berücksichtigung relevanter wissenschaftlicher Ansätze, so können erhebliche Problembereiche im Gestaltungsprozess einer betriebswirtschaftlich angemessenen IT- Notfallvorsorge identifiziert werden. Neben organisatorischen Schwierigkeiten und methodischen Einschränkungen bei der IT-Risikobewertung sowie Ansätzen zur Wirtschaftlichkeitsbetrachtung von IT-Sicherheit, bieten auch offizielle Standards (z. B. IT-Grundschutz) keine ausreichende Hilfestellung. Der identifizierte Handlungsbedarf stellt nun einen Ausgangspunkt für die Verbesserung diesbezüglicher Gestaltungsmöglichkeiten dar. Diese Verbesserung sollte im Kontext des o. g. IT-Risikomanagements erfolgen, das den übergeordneten Rahmen vorgibt. Keywords Business Continuity Management, CObIT, Disaster Recovery, IT-Grundschutz, IT Infrastructure Library, IT-Notfallvorsorge, IT-Risikobewertung, IT-Risikomanagement, IT Service Continuity Management, Kontinuitätsmanagement, Wirtschaftlichkeitsbetrachtung

8 IV

9 V Inhaltsverzeichnis VORWORT... I ABSTRACT... III ABBILDUNGSVERZEICHNIS... VII TABELLENVERZEICHNIS... IX ABKÜRZUNGSVERZEICHNIS... XI 1 EINLEITUNG IT-NOTFALLVORSORGE INNERHALB DES BETRIEBLICHEN RISIKOMANAGEMENTS WERTORIENTIERTES BETRIEBLICHES RISIKOMANAGEMENT Grundlagen des betrieblichen Risikomanagements Die Risikodefinition als Ausgangspunkt Definitionsansätze zum betrieblichen Risikomanagement Ziele und Komponenten des betrieblichen Risikomanagements Aktivitäten innerhalb des Risikomanagement- Prozesses Institutionelle Aspekte im Risikomanagement Wertorientierung im Risikomanagement und dessen Bedeutung im Kontext der Arbeit IT-RISIKOMANAGEMENT UND IT-NOTFALLVORSORGE IT-Risikomanagement als Komponente des betrieblichen Risikomanagements IT-Notfallvorsorge als Komponente des IT- Risikomanagements IT-SICHERHEITSZIELE UND DEREN URSACHE-WIRKUNGSKETTEN ZUSAMMENFASSUNG UND EINORDNUNG DES BETRIEBLICHEN RISIKOMANAGEMENTS IN DEN UNTERSUCHUNGSGEGENSTAND DER ARBEIT ANALYSE DES HANDLUNGSBEDARFS BEI DER GESTALTUNG VON IT-NOTFALLVORSORGE ORGANISATORISCHE SCHWACHSTELLEN Aufbau- und ablauforganisatorische Untersuchungsziele Aufbauorganisatorische Schwachstellen Ablauforganisatorische Schwachstellen...39

10 VI 3.2 BESONDERHEITEN DES IT-SYSTEMS EINSCHRÄNKUNGEN DER METHODISCHEN ANSÄTZE Einschränkungen bei der IT-Risikobewertung Einführende Darstellung und Bewertung der Ansätze Bewertung der Eintrittswahrscheinlichkeit Bewertung der ökonomischen Auswirkung bei IT- Ausfall Einschränkungen offizieller Standards Bewertungskriterien Darstellung und Bewertung des Prozesses IT Service Continuity Management innerhalb von ITIL Darstellung und Bewertung der Vorgaben unter DS 4 Ensure Continuous Service innerhalb CObIT Darstellung und Bewertung des Bausteins Notfallvorsorge innerhalb der IT-Grundschutz- Kataloge Zusammenfassung der Bewertung KRITISCHE ANALYSE UNTERSCHIEDLICHER ANSÄTZE ZU WIRTSCHAFTLICHKEITSBETRACHTUNGEN Bewertungskriterien Darstellung und Bewertung der Ansätze im Bereich der IT- Sicherheit Darstellung der Ansätze im Bereich IT-Sicherheit Zusammenfassende Bewertung der Ansätze Darstellung und Bewertung eines konkreten Ansatzes für eine Wirtschaftlichkeitsbetrachtung bei der Gestaltung von IT-Notfallvorsorge Darstellung des Ansatzes Bewertung des Ansatzes THESENFÖRMIGE ZUSAMMENFASSUNG ZUSAMMENFASSUNG UND AUSBLICK LITERATURVERZEICHNIS... XIII

11 VII Abbildungsverzeichnis ABBILDUNG 1: DIMENSIONEN DES RISIKOBEGRIFFS NACH AUSGANGSFAKTOREN (QUELLE: IN ANLEHNUNG AN JONEN (2006), S. 16FF.)...6 ABBILDUNG 2: ZIELE DES BETRIEBLICHEN RISIKOMANAGEMENTS...10 ABBILDUNG 3: ABBILDUNG 4: ABBILDUNG 5: ABBILDUNG 6: ABBILDUNG 7: ABBILDUNG 8: ABBILDUNG 9: ABBILDUNG 10: ABBILDUNG 11: ABBILDUNG 12: ABBILDUNG 13: ABBILDUNG 14: ABBILDUNG 15: RISIKOBEREICHE NACH BASEL II (QUELLE: IN ANLEHNUNG AN KPMG (2003B), S. 6)...13 RISIKOBEREICHE BEI DER DEUTSCHEN TELEKOM (QUELLE: IN ANLEHNUNG AN DTAG (2006), S. 103FF.)...14 RISIKOMANAGEMENT-TEILPROZESSE UND AKTIVITÄTEN (QUELLE: IN ANLEHNUNG AN KPMG (2003B), S. 18FF.)...15 INSTRUMENTE ZUR RISIKOSTEUERUNG (QUELLE: IN ANLEHNUNG AN WOLF (2003), S. 60)...17 IDENTIFIKATIONSMÖGLICHEN FÜR RISIKEN UND DEREN STEUERUNG...20 ORGANISATIONSMODELL FÜR RISIKOMANAGEMENT...22 AUSWIRKUNGEN AUF DEN UNTERNEHMUNGSWERT...25 PROZESS FÜR IT SERVICE (BUSINESS) CONTINUITY MANAGEMENT (QUELLE: IN ANLEHNUNG AN OCG (2001), ABSCHNITT 7.3)...52 ITIL MANAGEMENT-STRUKTUR (QUELLE: OCG (2001), ABSCHNITT 7.4)...54 COBIT-MANAGEMENT PROZESS (QUELLE: IN ANLEHNUNG AN ITGI (2004), S. 24)...56 SCHADENSKURVE (QUELLE: IN ANLEHNUNG AN VON RÖSSING (2005B), S. 97FF.)...72 INVESTITIONSKURVE (QUELLE: IN ANLEHNUNG AN VON RÖSSING (2005B), S. 146)...73 ZUSAMMENFÜHRUNG VON SCHADENSKURVE UND INVESTITIONSKURVE (QUELLE: IN ANLEHNUNG AN VON RÖSSING (2005B), S. 149F.)...74

12 VIII

13 IX Tabellenverzeichnis TABELLE 1: TABELLE 2: TABELLE 3: TABELLE 4: TABELLE 5: TABELLE 6: TABELLE 7: TABELLE 8: TABELLE 9: TABELLE 10: QUALITATIVE BESCHREIBUNG MÖGLICHER RISIKOAUSMAßE (QUELLE: IN ANLEHNUNG AN FIEGE (2005), S. 49)...16 URSACHEN UND MÖGLICHE FOLGEEREIGNISSE BEI DER VERLETZUNG VON IT-SICHERHEITSZIELEN...33 BEISPIEL EINER VERKNÜPFUNG BEI DER ZWEISTUFIGEN QUALITATIVEN RISIKOBEWERTUNG...44 HISTORISCHE STUDIEN ZUR ÖKONOMISCHEN AUSWIRKUNG BEI IT- AUSFALL...49 AKTUELLE STUDIEN ZUR ÖKONOMISCHEN AUSWIRKUNG BEI IT- AUSFALL (QUELLE: IN ANLEHNUNG AN KARK (2007), S. 1)...50 ABBILDUNG AUF RISIKOMANAGEMENT-TEILPROZESSE...53 VERANTWORTLICHKEITEN FÜR DS 4 ENSURE CONTINUOUS SERVICE (QUELLE: ITGI (2004), S. 117)...58 MAßNAHMEEMPFEHLUNGEN AUS DEM BAUSTEIN B 1.3 (QUELLE: BSI (2007A), BAUSTEIN B. 1.3 NOTFALLVORSORGE)...60 ABBILDUNG DER INSTRUMENTE ZUR IT-RISIKOSTEUERUNG AUF DIE MAßNAHMEN IM BAUSTEIN B 1.3 NOTFALLVORSORGE...62 ÜBERBLICK DER ANSÄTZE ZU QUANTITATIVEN WIRTSCHAFTLICHKEITSBETRACHTUNGEN...65

14 X

15 XI Abkürzungsverzeichnis ALE BCM BSI CCTA CFROI CObIT CoCo COSO CRAMM DCF ERM EVA FIPS FSA HAZOP IDS ISO IT IT SCM ITGI Annual Loss Expectancy Business Continuity Management Bundesamt für Sicherheit in der Informationstechnik Central Computer and Telecommunications Agency Cash Flow Return of Investment Control Objectives for Information and related Technology Control Committee Committee of Sponsoring Organizations of Treadway Commission CCTA Risk Analysis and Management Method Discounted Cash Flow Enterprise Risk Management Economic Value Add Federal Information Processing Standard Financial Services Authority Hazard and Operability Study Intrusion Detection System International Organization for Standardization Informationstechnik IT Service Continuity Management IT Governance Institute

16 XII ITIL IuK KonTraG MaRisk OCG ROC ROI ROSI RSZ SLA IT Infrastructure Library Information und Kommunikation Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Mindestanforderung für die Umsetzung von Risikomanagement Office of Government Commerce Regulation on Organization and Control Return of Investment Return of Security Investment Risiko, Sicherheit, Zuverlässigkeit Service Level Agreement

17 1 1 Einleitung Die Bank of New York hat nach den Terroranschlägen vom 11. September 2001 einen Schaden 1 durch Business Disruption and System Failure von 242 Millionen Dollar vor Steuern hinnehmen müssen. 2 Dieses Beispiel verdeutlicht die hohe ökonomische Auswirkung bei großen Schadensereignissen bzw. Eintritt wesentlicher Risiken. Neben den angesprochenen Terrorrisiken können jedoch auch natürliche Ereignisse (z. B. Naturkatastrophen) oder menschliche Fehlhandlungen 3 eine Störung mit großer Auswirkung herbeiführen. 4 Aus diesem Grund ist eine betriebliche Notfallvorsorge wichtig, die geschäftskritische Risiken steuert, um den Schaden für die Unternehmung zu begrenzen. Hierfür wird u. a. eine Notfallorganisation benötigt, die für die Gestaltung präventiver sowie reaktiver Maßnahmen zuständig ist. Hier besteht jedoch nach Aussage verschiedener empirischer Studien ein großer Nachholbedarf. Beispielsweise ist nach Aussage der Wirtschaftsprüfung KPMG nur bei 44,6 Prozent der großen Unternehmungen 5 eine Notfallorganisation festgelegt. 6 Noch deutlicher stellt sich die Situation bei kleinen Unternehmungen dar, die weniger als eine Milliarde Euro Jahresumsatz vorweisen. Hier zeigt die Studie von KPMG, dass lediglich 12,1 Prozent der Unternehmungen eine Notfallorganisation definiert haben. Dies verdeutlicht die ungenügende organisatorische Vorbereitung für Notfälle in der betrieblichen Praxis, da eine solche Organisation eine wesentli- 1 Schaden = die durch ein unerwünschtes Ereignis verursachte Beeinträchtigung der Funktionsund/oder Leistungsfähigkeit der Informationsinfrastruktur (realer Schaden) bzw. die Folge davon (wirtschaftlicher Schaden). Heinrich/Lehner (2005), S Vgl. de Fontnouvelle et al. (2006), S Nach einer Untersuchung der Rückversicherung Swiss Re stieg zwischen 1970 und 2000 sowohl die Anzahl der Naturkatastrophen als auch die Zahl der von Menschen verursachten Desaster dramatisch an. Merbecks et al. (2004), S Für eine ausführliche Darstellung von Fallstudien zu unterschiedlichen Katastrophenereignissen mit Auswirkung auf Finanzdienstleister vgl. BIS (2005), S. 19ff.; für weitere Fallstudien vgl. Hiles/Barnes (1999), S. 295ff.; für eine Fallsammlung zu (betriebswirtschaftlichen) Schäden im Bereich IT-Sicherheit vgl. BSI (2000), S. 61ff.; für einen Großschadenbericht Schaden/Unfall über versicherte Marktschäden, die größer sind als 25 Mio. Euro und einen Bezug zum deutschen Versicherungsmarkt haben vgl. GenRe (2006), S. 2ff. 5 Große Unternehmungen im Kontext der angesprochenen Studie der Wirtschaftsprüfung KPMG haben einen jährlichen Umsatz von mehr als einer Milliarde Euro. 6 Vgl. KPMG (2003), S. 24.

18 2 che Vorbedingung für eine zielgerichtete Bewältigung einer Notfallsituation darstellt. Insbesondere eine ungenügende Risikosteuerung innerhalb der Unterstützung 7 durch Informationstechnik 8 (IT) einer Unternehmung kann nach IT-Notfall erhebliche direkte und indirekte Ausfallkosten nach sich ziehen. Dies wird durch die zunehmend starke IT-Abhängigkeit 9 vieler erfolgskritischer Geschäftsprozesse verstärkt. 10 Hierzu bemerkt Laprie: Our society has become increasingly dependent on computing systems and this dependency is especially felt upon the occurrence of failures. 11 Aus diesen Gründen ist es wichtig, dass ein angemessenes Vorsorgeniveau erreicht wird und zudem alle geeigneten Instrumente zur IT-Risikosteuerung berücksichtigt werden. Meist werden heutzutage technische Lösungen zur Erreichung von Systemredundanz lokal oder verteilt eingesetzt. Alternative Steuerungsinstrumente wie Versicherung, Überwälzung oder bewusste Risikoakzeptanz werden selten berücksichtigt. Gerade jedoch aufgrund der hohen Investitionskosten bei technischen Lösungen für die Risikominimierung bei seltenen Schadensereignissen mit großer Auswirkung ist eine nähere Untersuchung diesbezüglicher ökonomischer Gestaltungsaspekte von IT-Notfallvorsorge notwendig. Diese Notwendigkeit zur Wirtschaftlichkeitsbetrachtung wird auch von Mertens betont: Gerade wegen der vielfältigen Möglichkeiten sind aber auch Wirtschaftlichkeitsbetrachtungen in die Festlegung des Sicherheitslevels mit einzubeziehen, da nicht um jeden Preis das Maximum, sondern das unternehmerisch sinnvolle Optimum an Sicherheit anzustreben ist Für eine beispielhafte Klasseneinteilung betrieblicher computergestützter Anwendungssysteme vgl. Gabriel/Röhrs (2003), S Für eine Definition vgl. Abschnitt Für eine Darstellung der Unternehmung als informationsverarbeitendes System vgl. Gabriel/Röhrs (1995), S. 23ff. 10 Vgl. Lange (2005), S Laprie (1995), S Mertens et al. (2005), S. 197.

19 3 Die oben dargelegte Problemstellung motiviert die zwei wesentlichen Ziele des vorliegenden Arbeitsberichts: Einerseits soll eine vorbereitende Untersuchung den Betrachtungsgegenstand IT-Notfallvorsorge in das betriebliche Risikomanagement einordnen, begriffliche Grundlagen bilden sowie einen übergreifenden Rahmen aufbauen. Dabei sollen relevante Gemeinsamkeiten erarbeitet werden, die später auf ihr Einsatzpotenzial überprüft werden können. In einem zweiten Schritt soll ein Blick in die betriebliche Praxis geworfen werden, um potenzielle bzw. konkret vorhandene Schwierigkeiten zu identifizieren. Hierbei soll im Rahmen unterschiedlicher Untersuchungsdimensionen eine umfassende Aufnahme des Handlungsbedarfs bei der Gestaltung von IT-Notfallvorsorge erfolgen. Aus den genannten Zielen lässt sich folgende Struktur ableiten: In Kapitel 2 erfolgt eine Einführung in das betriebliche Risikomanagement, um im nachstehenden Abschnitt den Untersuchungsgegenstand IT-Notfallvorsorge einordnen zu können. Abschließend werden die IT-Sicherheitsziele und ihre Ursache-Wirkungsketten betrachtet. Davon ausgehend werden in Kapitel 3 Schwachstellen bei der Gestaltung von IT-Notfallvorsorge innerhalb der betrieblichen Praxis untersucht. Dazu werden nach der Betrachtung möglicher aufbau- und ablauforganisatorischer Schwierigkeiten spezifische Besonderheiten bei IT-Systemen erarbeitet. Anschließend erfolgt eine ausführliche Darstellung und Bewertung der Problembereiche im Rahmen der IT-Risikobewertung. Darüber hinaus werden offizielle Standards auf Schwachstellen innerhalb der betrieblichen Praxis und Ansätze aus der Literatur zu Wirtschaftlichkeitsbetrachtungen von IT-Sicherheit als auch IT-Notfallvorsorge auf ihre Anwendbarkeit überprüft. Der Arbeitsbericht endet mit Kapitel 4, das die Erkenntnisse zusammenfasst und mit einem Ausblick auf weitere mögliche Untersuchungsbereiche schließt.

20 4

21 5 2 IT-Notfallvorsorge innerhalb des betrieblichen Risikomanagements Im Folgenden wird der Untersuchungsgegenstand der IT-Notfallvorsorge in das betriebliche Risikomanagement eingeordnet. Dazu werden relevante Begriffsauffassungen dargestellt und Definitionen aus der Literatur im Kontext der Arbeit untersucht. In diesem Rahmen wird das wertorientierte betriebliche Risikomanagement auf operationelle Risiken mit einem Bezug zur Informationstechnik eingegrenzt. Dies stellt anschließend die Grundlage dar, um den Gestaltungsgegenstand der IT- Notfallvorsorge zu definieren. Abschließend werden IT-Sicherheitsziele auf ihre Abhängigkeiten untersucht, um Besonderheiten im Zusammenhang mit der IT- Notfallvorsorge zu erarbeiten. 2.1 Wertorientiertes betriebliches Risikomanagement Relevante Aspekte der Wertorientierung werden nach Darstellung grundlegender Aspekte des betrieblichen Risikomanagements im vorliegenden Abschnitt untersucht Grundlagen des betrieblichen Risikomanagements Ausgehend vom Begriff des Risikos werden unterschiedliche Definitionsansätze für betriebliches Risikomanagement vorgestellt. Anschließend erfolgt eine umfassende Beschreibung der Ziele, Komponenten und Aktivitäten im Risikomanagement als Grundlage einer institutionellen Untersuchung und der folgenden Einordnung in den Betrachtungsgegenstand der Arbeit. Anschließend erfolgt auf Grundlage einer umfassenden Beschreibung der Ziele, Komponenten und Aktivitäten im Risikomanagement eine institutionelle Untersuchung und daran anschließend die Einordnung in den Betrachtungsgegenstand.

22 Die Risikodefinition als Ausgangspunkt Als zentraler Ausgangspunkt der Arbeit dient der Begriff des Risikos, der hinsichtlich seiner Sprach- und Kulturgeschichte von Keller untersucht wurde. 13 Im Folgenden werden gegenwärtige begriffliche Ausprägungen dargestellt. Jonen unterscheidet in seiner semantischen Analyse des Risikobegriffs verschiedene Dimensionen, die hier auszugsweise vorgestellt werden. Dabei werden u.a. Begriffsdefinitionen hinsichtlich der Ausgangsfaktoren abgegrenzt, die sich auf die Ursache, den Informationszustand oder die Zieldimension beziehen 14 (vgl. dazu Abbildung 1). Ursache Informationszustand Zieldimension Entscheidung Ereignis Basisfaktor Abbildung 1: Dimensionen des Risikobegriffs nach Ausgangsfaktoren (Quelle: In Anlehnung an Jonen (2006), S. 16ff.) Bei Ausgangsfaktoren, die sich auf die Ursache beziehen, werden Aspekte beschrieben, aus denen Risiken entstehen. Dies können Entscheidungen, Ereignisse oder Basisfaktoren sein. Beim entscheidungsorientierten 15 Risikobegriff wird das Risiko als Wahrscheinlichkeitsverteilung der möglichen Folgeereignisse einer Handlungsalternative angesehen. Dabei wird das Risiko als Folge einer Entscheidung und die Unsicherheit als Bedingung zur Entstehung dieser Zustände betrachtet. Bei einer ereignisorientierten Sichtweise wird das Risiko als mögliche Zielabweichung gesehen, die durch ein Ereignis oder einen Störprozess entsteht. Dies wird ähnlich auch von Stallinger definiert: Risiko ist die Gefahr einer Fehlabweichung von einem erwarteten und geplanten Zielwert, gewichtet mit der Wahrscheinlichkeit ihres Eintretens. 16 Wird ein Basisfaktor als Ursache angesehen, so handelt es sich bei dem Risiko um einen statischen Zustand (z. B. die allgemeine wirtschaftliche Betätigung) als schicksalhafte Verknüpfung 17 mit dem Risiko. 13 Vgl. Keller (2004), S. 61ff. 14 Vgl. Jonen (2006), S. 16ff. 15 Vgl. Gleißner/Wolfrum (2001), S. 139ff. 16 Stallinger (2006), S Jonen (2006), S. 19.

23 7 Bei einem Ausgangsfaktor, der mit dem Informationszustand verknüpft ist, wird das Risiko als Informationsdefizit über das Erreichen der definierten Ziele 18 und der daraus resultierenden Unsicherheit beschrieben. 19 Hierbei werden das Schadensausmaß und die Wahrscheinlichkeit eines Schadens miteinander verbunden, 20 was auch dem mathematisch-technischen Verständnis entspricht. 21 Wirkungs- beziehungsweise zielorientierte Risikodefinitionen beziehen sich auf die Auswirkungen. Hierbei kann beispielsweise ein spekulatives Risiko sowohl negative als auch positive Abweichungen erzeugen, wobei letztere oftmals auch als Chancen bezeichnet werden. 22 Eine weitere allgemeine Definition stammt von Gleißner, der Risiko als die aus der Unvorhersehbarkeit der Zukunft resultierende, durch zufällige Störungen verursachte Möglichkeit, geplante Ziele zu verfehlen 23 bezeichnet. Mikus hingegen unterscheidet zwei Risikodefinitionen: 24 Einerseits wird Risiko als Gefahr eines Verlustes oder eines Schadens angesehen. 25 Diese Risiken gehen mit unternehmerischer Aktivität einher. Hierbei wird auf meist monetäre Zielgrößen Bezug genommen. Andererseits besteht ein Risiko als Gefahr einer Fehlentscheidung, die zur Nicht-Erreichung der gesetzten Ziele führt. Dies entspricht einer verallgemeinerten Risikodefinition und berücksichtigt die Tatsache, dass Unternehmungen Systeme mit mehreren Zielgrößen darstellen. Im Zusammenhang mit Informationsmanagement geben Hansen/Neumann folgende Definition: Ein Risiko (engl.: risk) ist ein 18 Vgl. Rosenkranz/Missler-Behr (2006), S. 22f. 19 Vgl. Jonen (2006), S. 19ff. 20 Vgl. Eckert (2003), S Vgl. Jonen (2006), S Vgl. Müßig (2005), S. 1ff. für eine Verknüpfung des Chancen-Managements mit dem Thema Business Resilience. 23 Gleißner/Wolfrum (2001), S Vgl. Mikus (2001), S. 3f. 25 Dieses enge Verständnis vom Begriff des Risikos i. e. S. (als Verlust oder Schadengefahr) liegt auch dem 91 Abs. 2 AktG zugrunde, vgl. Koch (2005), S. 69.

24 8 Zustand oder Ereignis, das mit einer bestimmten Wahrscheinlichkeit eintritt und eine Gefährdung (beispielsweise eines Projekterfolges) bedeuten könnte. 26 Letztere Definition entspricht o. g. mathematisch-technischen Begriffsverständnis und wird für die weitere Untersuchung zugrunde gelegt. Der Eintritt des Risikos erfolgt dabei durch ein Ereignis als Ursache bzw. als Störprozess Definitionsansätze zum betrieblichen Risikomanagement Das oben definierte Risiko ist nun Gegenstand des Risikomanagements. 27 Dabei versteht Wolf Risikomanagement als integralen Bestandteil des Managements zur Erreichung von Risikotransparenz in allen Führungs- und Durchführungsprozessen. Hierzu werden alle spekulativen, intern wie extern begründeten Risiken in allen Entscheidungsprozessen mit Fokus auf das Gesamtrisiko betrachtet. 28 Auch Denk et al. betonen die Wichtigkeit der Steuerung der Risikogesamtposition (oder auch des Risikoportfolios) einer Unternehmung. Hierbei ist das Corporate Risk Management auf die Unternehmungsziele ausgerichtet und in die Unternehmungssteuerung (z. B. Strategie und Controlling) integriert. Dabei gibt es drei wichtige Kriterien, die das eingesetzte Führungs- und Steuerungssystem erfüllen sollte. Grundsätzlich sollte das Risikomanagement auf die strategischen Ziele einer Unternehmung ausgerichtet sein. Weiterhin ist eine Steuerung der Risikogesamtposition notwendig, und zwar unter Berücksichtigung aller betrieblichen Risiken und der zwischen diesen bestehenden Abhängigkeiten. Dabei sollte das Risikomanagement in die Steuerungsprozesse integriert sein. 29 Albrecht nutzt den Begriff des holistischen 30 Risikomanagements. Dies beinhaltet das ganzheitliche Management aller betrieblichen Risiken unter Berücksichtigung 26 Hansen/Neumann (2005), S Für einen historischen Überblick zum Risikomanagement vgl. Pechtl (2003), S. 15ff.; Schettler et al. (2002), S. 4ff. 28 Vgl. Wolf (2003), S Vgl. Denk et al. (2006), S Von griechisch holon (das Ganze). Der Holismus bezeichnet eine totale Perspektive, d. h. die Betrachtung aller Freiheitsgrade, um ein vollständiges Verständnis über ein System zu erlangen.

25 9 sämtlicher Risikointerdependenzen. Weiterhin erfolgt nach Albrecht die Integration des Risikomanagements in das Management der Unternehmung. 31 Zusammenfassend lässt sich festhalten, dass einheitliche Schwerpunkte innerhalb der Definitionen zu erkennen sind. Wichtig ist zum einen die integrierte Sicht auf das Gesamtrisiko als Betrachtungsgegenstand. Zum andern ist das Risikomanagement Bestandteil der betrieblichen Führungsprozesse und damit in die Ziele der Unternehmung integriert. Diese Leitlinien dienen im Folgenden in der gesamten Arbeit als Orientierung. Insbesondere werden diese Aspekte durch die Einbindung der Verantwortlichen für Geschäftsprozesse im Rahmen der organisatorischen Komponenten des Gestaltungsmodells berücksichtigt Ziele und Komponenten des betrieblichen Risikomanagements Die primäre Zielsetzung des betrieblichen Risikomanagements ist die Unterstützung bzw. Gewährleistung der Ziele einer Unternehmung. 32 Dabei betont Mikus die umfassende Komponente von Risikomanagement im Zusammenhang mit Entscheidungen in der Unternehmung: Um die Gefahr von Fehlentscheidungen zu verringern, sollten daher möglichst sämtliche Risikoursachen und deren eventuelle Auswirkungen auf die Zielerreichung (unter Einbeziehung von Chancen) im Rahmen eines generellen Risikomanagements bei unternehmerischen Entscheidungen berücksichtigt werden. 33 Dabei kann die Erreichung der Unternehmungsziele 34 hinsichtlich des Risikomanagements weiter unterteilt werden (vgl. dazu Abbildung 2). Direkt aus den Unternehmungszielen ableitbar ist die Minimierung von Risikokosten. 35 Dabei werden die Risikokosten als Differenz zwischen realisierten 31 Vgl. Albrecht (1998), S Vgl. Merbecks et al. (2004), S. 45ff. 33 Mikus (2001), S Für eine Verknüpfung des Risikomanagements mit Instrumenten der strategischen Unternehmungsführung (z. B. Shareholder Value, Chancen-Gefahre-Analyse, Balanced Scorecard) vgl. Götze/Mikus (2001), S. 387ff. 35 Zu Risikokosten vgl. von Stockar (1995), S. 60f.

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

IT-Notfallvorsorge im betrieblichen Risikomanagement

IT-Notfallvorsorge im betrieblichen Risikomanagement IT-Notfallvorsorge im betrieblichen Risikomanagement Entwicklung eines Gestaltungsmodells unter Berücksichtigung ökonomischer Aspekte am Beispiel einer TK-Unternehmung Jochen Wiedemann Bibliografische

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Risk Management für Unternehmen

Risk Management für Unternehmen Risk Management für Unternehmen Überlassen Sie nichts dem Zufall RM- Risk Management für Unternehmen methodisch vorgehen Dem Risk Management (RM) liegt ein dauernder, sich stets verändernder Prozess im

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008 Risikomanagement Eine Chance zur Unternehmenswertsteigerung Der kleine Risikomanager 1 2 Der kleine Risikomanager 2 3 Der kleine Risikomanager 3 4 Risiko Risiko ist die aus der Unvorhersehbarkeit der Zukunft

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Risikomanagement Leitfaden zur Umsetzung eines Risikomanagement-Systems für die wertorientierte Steuerung von Unternehmen

Risikomanagement Leitfaden zur Umsetzung eines Risikomanagement-Systems für die wertorientierte Steuerung von Unternehmen Risikomanagement Leitfaden zur Umsetzung eines Risikomanagement-Systems für die wertorientierte Steuerung von Unternehmen Univ.-Prof. Dr. Dr. h. c. mult. Horst Wildemann TCW Transfer-Centrum für Produktions-Logistik

Mehr

Geleitwort. Abbildungsverzeichnis. Abkürzungsverzeichnis

Geleitwort. Abbildungsverzeichnis. Abkürzungsverzeichnis IX Geleitwort Vorwort Inhaltsverzeichnis Abbildungsverzeichnis Abkürzungsverzeichnis V VI) IX XV XIX 1 Einleitung...1 1.1 Problemstellung 1 1.2 Gegenstand und Zielsetzung der Arbeit 4 1.3 Methodik und

Mehr

Risikobewusstsein als Ausgangspunkt für ein zielgerichtetes Risiko-Management

Risikobewusstsein als Ausgangspunkt für ein zielgerichtetes Risiko-Management Risikobewusstsein als Ausgangspunkt für ein zielgerichtetes Risiko-Management Jan van Rijs, Fausto Steidle, Alexander Loistl Risk Management Services Bern, 17. Juni 2003 Zurich Continental Europe Corporate

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

IT-Risiko- Management mit System

IT-Risiko- Management mit System Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen

Mehr

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements Rechtliche Aspekte der IT-Sicherheit Prof. Dr. Kathrin Winkler Gliederung 1. IT-Sicherheit als Bestandteil des 3. Besonderheiten des öff.-re. Sektors 4. Ablauf eines 5. IT-Grundschutz des BSI 1 Einordnung

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

STRATEGISCHES RISIKOMANAGEMENTSYSTEM. Carsten Schlachta Universität Münster, 13. Dezember 2011

STRATEGISCHES RISIKOMANAGEMENTSYSTEM. Carsten Schlachta Universität Münster, 13. Dezember 2011 Carsten Schlachta Universität Münster, 13. Dezember 2011 1 Gliederung: Vorstellung Aufbau eines strategischen Risikomanagements (RM) Risikomanagement im Internen Kontrollsystem (IKS) Spannungsfeld des

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis Prof. Alexander Redlein, Dr. Barbara Redlein Begriffe: Compliance und Risikomanagement Compliance = Einhaltung aller externen und internen

Mehr

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11. Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds

Mehr

Netzwerkorientiertes Supply Chain Controlling und Risikomanagement

Netzwerkorientiertes Supply Chain Controlling und Risikomanagement Kiril Kiryazov Netzwerkorientiertes Supply Chain Controlling und Risikomanagement Diplomica Verlag Kiril Kiryazov Netzwerkorientiertes Supply Chain Controlling und Risikomanagement ISBN: 978-3-8428-0997-0

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

ZfTM-Work in Progress Nr. 83: Risikomanagement in Unternehmen

ZfTM-Work in Progress Nr. 83: Risikomanagement in Unternehmen ZfTM-Work in Progress Nr. 83: Risikomanagement in Unternehmen Torsten J. Gerpott * /Alexander P. Hoffmann ** 2007 * ** Univ.-Prof. Dr. Torsten J. Gerpott, Lehrstuhl Unternehmens- und Technologiemanagement,

Mehr

Erfahrungen und Best Practices aus Projekten - Risikomanagement

Erfahrungen und Best Practices aus Projekten - Risikomanagement Erfahrungen und Best Practices aus Projekten - Risikomanagement ConSol Webcast 14.12.2012 Referent: Lutz Keller Moderator: Jens Brügmann Oh das hatten wir nicht bedacht Risikomanagement in Projekten 14.12.2012

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Inhaltsverzeichnis. Vorwort zur 2. Auflage... 5 Autoren und Mitgestalter... 7 Inhaltsübersicht... 9 Inhaltsverzeichnis... 11 Einleitung...

Inhaltsverzeichnis. Vorwort zur 2. Auflage... 5 Autoren und Mitgestalter... 7 Inhaltsübersicht... 9 Inhaltsverzeichnis... 11 Einleitung... Inhaltsverzeichnis Vorwort zur 2. Auflage... 5 Autoren und Mitgestalter... 7 Inhaltsübersicht... 9 Inhaltsverzeichnis... 11 Einleitung... 17 Teil 1 Grundlagen 1. Impuls Tendenzen des Risikomanagements

Mehr

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert BCM im Überblick GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity / IT-Recovery Information

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Deutsches Institut für Interne Revision (IIR) IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Ziel der Verlautbarung ist die Definition von Grundsätzen für die Prüfung

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

forte advisors Conformance vs. Performance Zürcher Tagung 2006 Unternehmen im Spannungsfeld von Governance und Shareholder Value

forte advisors Conformance vs. Performance Zürcher Tagung 2006 Unternehmen im Spannungsfeld von Governance und Shareholder Value Conformance vs. Performance Unternehmen im Spannungsfeld von Governance und Shareholder Value Fokus: IT Risk Management Dr. iur. Bruno Wildhaber, CISA/CISM Forte Advisors 1 Kontakt: Dr. Bruno Wildhaber

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Kalkulation verursachungsgerechter Standard- Risikokosten zur risikoadjustierten Bepreisung der privaten Unfallversicherung

Kalkulation verursachungsgerechter Standard- Risikokosten zur risikoadjustierten Bepreisung der privaten Unfallversicherung Thomas Hubert Reimer Kalkulation verursachungsgerechter Standard- Risikokosten zur risikoadjustierten Bepreisung der privaten Unfallversicherung Analyse der Eignung barwertiger Verfahren aus dem Retailkreditgeschäft

Mehr

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand SOLUTION Q_RISKMANAGER 2.0 Das Risikomanagementsystem für den Mittelstand Q4/2012 Q_Riskmanager als webbasierte Lösung des Risikomanagements unter Solvency II Solvency II stellt Unternehmen vor neue Herausforderungen

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

(Thema) Realisierung eines kennzahlenbasierten Steuerungskonzepts für das Change Management. Bachelorarbeit

(Thema) Realisierung eines kennzahlenbasierten Steuerungskonzepts für das Change Management. Bachelorarbeit (Thema) Realisierung eines kennzahlenbasierten Steuerungskonzepts für das Change Management Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Supply Chain Management

Supply Chain Management Guntram Wette Supply Chain Management in kleinen und mittleren Unternehmen Können KMU erfolgreich ein SCM aufbauen? Diplomica Verlag Guntram Wette Supply Chain Management in kleinen und mittleren Unternehmen

Mehr

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 www.dvgw-regelwerk.de Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 Sicherheit in der Gasversorgung; Risikomanagement von gastechnischen Infrastrukturen im Normalbetrieb Security of Gas Supply;

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Offenlegungsbericht nach 26a KWG in Verbindung mit 319 ff der Solvabilitätsverordnung (SolvV) der. Alpha Wertpapierhandels GmbH, Frankfurt am Main

Offenlegungsbericht nach 26a KWG in Verbindung mit 319 ff der Solvabilitätsverordnung (SolvV) der. Alpha Wertpapierhandels GmbH, Frankfurt am Main Offenlegungsbericht nach 26a KWG in Verbindung mit 319 ff der Solvabilitätsverordnung (SolvV) der Alpha Wertpapierhandels GmbH, Frankfurt am Main 1.) Einleitung Die Bankenaufsicht verlangt nach 26 des

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Erfolgreiches Risikomanagement mit COSO ERM

Erfolgreiches Risikomanagement mit COSO ERM Erfolgreiches Risikomanagement mit COSO ERM Empfehlungen für die Gestaltung und Umsetzung in der Praxis Von Christian Brünger E R I C H S C H M I D T V E R L A G Bibliografische Information der Deutschen

Mehr

Balanced Scorecard Strategien umsetzen. CP-BSC ist ein Modul der Corporate Planning Suite.

Balanced Scorecard Strategien umsetzen. CP-BSC ist ein Modul der Corporate Planning Suite. Balanced Scorecard Strategien umsetzen CP-BSC ist ein Modul der Corporate Planning Suite. UnternehMenSSteUerUng Mit ViSiOn UnD StrAtegie Strategien umsetzen. Jedes Unternehmen hat strategische Ziele und

Mehr

Übersichtsdokument - Risikoanalyse

Übersichtsdokument - Risikoanalyse Übersichtsdokument - Risikoanalyse Nutzen und Ziel: Die Analyse der Risiken ist nach der Erarbeitung der Rahmenbedingungen (Risikopolitik, Organisation, Kultur etc.) der zentrale Teil des Integralen Risikomanagements.

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

PricewaterhouseCoopers Management operationeller Risiken in der Versicherungsindustrie Trends und zukünftige Anforderungen 17.

PricewaterhouseCoopers Management operationeller Risiken in der Versicherungsindustrie Trends und zukünftige Anforderungen 17. Management operationeller Risiken in der Versicherungsindustrie Trends und zukünftige Anforderungen 17. Juni 2004 Inhalt Was sind operationelle Risiken? Stand und Entwicklung des ORM Integration von ORM

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

RISIKOMANAGEMENT IM UNTERNEHMEN

RISIKOMANAGEMENT IM UNTERNEHMEN RISIKOMANAGEMENT IM UNTERNEHMEN Studie zum Einsatz von Risikomanagement-Vorgehensweisen in Unternehmen Risikomanagement ist ein wesentlicher Bestandteil der Unternehmensführung. Aber in welchen Firmen

Mehr

Unternehmerisches Risikomanagement - Konsequenzen einer integrierten Risikobewältigung für die Versicherung

Unternehmerisches Risikomanagement - Konsequenzen einer integrierten Risikobewältigung für die Versicherung Christoph F. Peter Unternehmerisches Risikomanagement - Konsequenzen einer integrierten Risikobewältigung für die Versicherung Herausgeber und Verlag Institut für Versicherungswirtschaft der Universität

Mehr

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem 17. Bundesfachtagung IKS Transparenz schafft Sicherheit Erfolgsfaktor Internes Kontrollsystem Mag. Gunnar Frei Warum braucht eine Gemeinde ein IKS? Landeskriminalamt ermittelt Wie aus gut informierten

Mehr

Risikomanagement Risiken im griff. CP-Risk ist ein Modul der Corporate Planning suite.

Risikomanagement Risiken im griff. CP-Risk ist ein Modul der Corporate Planning suite. Risikomanagement Risiken im griff CP-Risk ist ein Modul der Corporate Planning suite. IdentIfIkatIon, BeweRtung, analyse und kontrolle von RIsIken Risikomanagement mit System. Zum Risikomanagement gehört

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Umgang mit Risiken traditionell oder risikobasiert?

Umgang mit Risiken traditionell oder risikobasiert? Umgang mit Risiken traditionell oder risikobasiert? Umgang mit Risiken traditionell oder risikobasiert? 12.02.2015 Swissi AG 2 Top 10 Risiken heute und morgen 55% 32% 28% 23% 16% 15% 15% 13% 13% 9% Quelle:

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Enterprise Social Networking: Ein Framework und ein Fachkonzept für ein Industrieunternehmen

Enterprise Social Networking: Ein Framework und ein Fachkonzept für ein Industrieunternehmen Enterprise Social Networking: Ein Framework und ein Fachkonzept für ein Industrieunternehmen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor auf Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Wirtschaftlichkeitsanalyse von Cloud Computing aus der Sicht internationaler Unternehmen. Masterarbeit

Wirtschaftlichkeitsanalyse von Cloud Computing aus der Sicht internationaler Unternehmen. Masterarbeit Wirtschaftlichkeitsanalyse von Cloud Computing aus der Sicht internationaler Unternehmen Masterarbeit zur Erlangung des akademischen Grades Master of Science (M.Sc.) im Masterstudiengang Wirtschaftswissenschaft

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

" Wer steuert die Prozessrisiken "

 Wer steuert die Prozessrisiken Unabhängig seit 1674 " Wer steuert die Prozessrisiken " Harald Illy - Leiter Controlling & Compliance Tegernseer Fachtage, Januar 2004 Metzler ist eine unabhängige Privatbank mit dem Leistungsspektrum

Mehr

Risikomanagement zahlt sich aus

Risikomanagement zahlt sich aus Risikomanagement zahlt sich aus Thurgauer Technologieforum Risikobeurteilung - Was bedeutet das für meinen Betrieb? Tägerwilen, 19.11.2008 1 Ausgangslage (1) Jede verantwortungsbewusste Unternehmensleitung

Mehr

Change- und Configuration Management

Change- und Configuration Management 12. itsmf Jahreskongress 2012 3./4. Dezember 2012 FUTURE OF ITSM Change- und Configuration Management Praktische Umsetzung COBIT 4.1 und Toolimplementierung 1 Vorgehensweise Prozessimplementierung Die

Mehr

Frank Buchner. Die IT-Versicherung

Frank Buchner. Die IT-Versicherung Frank Buchner Die IT-Versicherung Eine rechtliche Untersuchung der Versicherung von Risiken der Informationstechnologie unter Berücksichtigung bisher angebotener Versicherungskonzepte und deren versicherungsrechtlichen

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

Bachelorarbeit. Brennpunkt Gemeinsame Agrarpolitik. Die GAP der EU im Spannungsfeld zwischen ökonomischer Ineffizienz und Interessen der Agrarlobby?

Bachelorarbeit. Brennpunkt Gemeinsame Agrarpolitik. Die GAP der EU im Spannungsfeld zwischen ökonomischer Ineffizienz und Interessen der Agrarlobby? Bachelorarbeit Ben Witthaus Brennpunkt Gemeinsame Agrarpolitik Die GAP der EU im Spannungsfeld zwischen ökonomischer Ineffizienz und Interessen der Agrarlobby? Bachelor + Master Publishing Ben Witthaus

Mehr

Compliance Management

Compliance Management Compliance Management Fernwärmetage 2013 13.03.2013 RA Dr. Gregor Schett, LL.M. Mag. Christoph Kochauf Fellner Wratzfeld & Partner Rechtsanwälte GmbH A-1010 Wien, Schottenring 12, T: +43 (1) 537 70 F:

Mehr

Universität Passau. Betriebswirtschaftslehre mit Schwerpunkt Internationales Management Prof. Dr. Carola Jungwirth. Masterarbeit

Universität Passau. Betriebswirtschaftslehre mit Schwerpunkt Internationales Management Prof. Dr. Carola Jungwirth. Masterarbeit Universität Passau Betriebswirtschaftslehre mit Schwerpunkt Internationales Management Prof. Dr. Carola Jungwirth Masterarbeit "Identifikation von Erfolgsfaktoren für eine Facebook- Recruiting-Strategie"

Mehr

IT Security Nutzen- und Kostenbewertungen

IT Security Nutzen- und Kostenbewertungen IT Security Nutzen- und Kostenbewertungen GI-Fachgruppe 5.7 IT-Controlling 43. Sitzung am 10.2.2006 Christoph Weinandt Key Account Manager SNC AG Zu Beginn... Christoph Weinandt Key Account Manager Senior

Mehr

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015 Cyber- und IT-Risiken im unternehmerischen Risikomanagement Essen 20.03.2015 Cyber Risiken Bedeutung für Ihr Unternehmen Nicht erreichbar? Erpressung Quelle: Palo Alto Networks Essen 20.03.2015 Sony Pictures

Mehr

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG

scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG scalaris ECI Day 2012 Risikomanagement in der Praxis 30. Oktober 2012 Rolf P. Schatzmann Chief Risk and Compliance Officer Renova Management AG Welches sind die 3 Top-Risiken Ihrer Unternehmung? «Risk

Mehr

Supply Chain Controlling: Entwicklung und Diskussion

Supply Chain Controlling: Entwicklung und Diskussion Supply Chain Controlling: Entwicklung und Diskussion von Christoph Eiser Erstauflage Diplomica Verlag 2015 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 95485 266 6 schnell und portofrei erhältlich

Mehr

Geschäftsprozessmanagement in der Praxis

Geschäftsprozessmanagement in der Praxis Geschäftsprozessmanagement in der Praxis Kunden zufrieden stellen - Produktivität steigern - Wert erhöhen von Hermann J. Schmelzer, Wolfgang Sesselmann 7., überarbeitete und erweiterte Auflage 2010 Hanser

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr