Outsourcing: Gute Verträge fördern die Kommunikation

Größe: px
Ab Seite anzeigen:

Download "Outsourcing: Gute Verträge fördern die Kommunikation"

Transkript

1 Outsourcing: Gute Verträge fördern die Kommunikation Minisymposium Berner Fachhochschule IWV (CC egov) Michel Huissoud Lic. iur., Certified Information Systems Auditor, Certified Internal Auditor Vizedirektor der Eidgenössischen Finanzkontrolle Vizepräsident ISACA (Schweiz)

2 Eine Definition? Outsourcing = «giving someone else your problem» 2

3 Warm-up.. Wer ist die EFK? «E.F.K.»: welcher Buchstabe ist falsch? Wem ist die EFK unterstellt: Dem Bundesrat oder dem Parlament? Ist die EFK nach Kunden oder nach Fachbereichen organisiert? Wie alt ist die EFK? EFK: Interne oder externe Revision? 3

4 Auch die EFK fördert die Suche nach dem guten Mittelweg , the above authors hi d l i b f l i d i f

5 Warm-up.. Wer ist die ISACA? Ist die ISACA ein internationaler oder ein schweizerischer Verband? Was ist ein CISA? Was ist ein CISM? Darf ein Abschlussprüfer ohne IT- Revisionskenntnisse arbeiten? Ist die ISACA nur in der Finanzbranche aktiv? 5

6 Trend: Welche Bereiche sind für ihr Unternehmen ein Outsourcingthema? 1. Priorität: Applikationsentwicklung/Maintenance mit 39.4 % (Computerworld, Okt. 2004) Beispiel: Das Bundesamt für Privatisierungen (BAP) hat entschieden, die Weiterentwicklung seiner IT- Anwendungen bei LE AG auszulagern Das Artikel 5 der Vereinbarung enthält die Spielregeln. Sie haben 5 Minuten um 5 Fehler zu finden. 6

7 Art. 5. Weiterentwicklung der Anwendungen a) LE AG stellt die Weiterentwicklung der Anwendungen von BAP sicher. Die übernommenen Programme sind in der Beilage 1 aufgelistet. b) Für Neu- und Weiterentwicklungen erstellt BAP ein Pflichtenheft mit Detailspezifikationen, welche durch die Direktion von BAP vor der Unterbreitung an LE AG zu genehmigen ist. LE AG erstellt einen Kostenvoranschlag und führt die Änderungen bzw. die Entwicklung aus. c) Die Tests der geänderten/neuen Programme werden durch LE AG vorgenommen. Sie umfassen das Austesten der Programmketten, der Plausibilitätskontrollen sowie einen Vergleich mit den vorberechneten Resultaten eines Testspiels, das durch BAP zu liefern ist. d) LE AG setzt und überwacht die für die Anwendung notwendigen Parameter, die durch BAP schriftlich vorzugeben sind. Die Datenbankadministration wird durch LE AG besorgt. LE AG überwacht die Datenbank laufend und trifft gegebenenfalls die notwendigen Massnahmen, z.b. Datenreorganisationen bei Erreichen von Kapazitätsengpässen oder Elimination von Inkonsistenzen nach technischen Systemunterbrüchen. e) Im Falle von auftretenden kleinen Störungen im Ablauf der Verarbeitung kann LE AG eingreifen, um kleine Programmfehler zu korrigieren. Diese Programmanpassungen sind ausserhalb der normalen Verarbeitungszeit durchzuführen. f) Grundsätzlich bleiben die von LE AG übernommenen Programme Eigentum von BAP. Deshalb kann LE AG keine Garantie für das richtige Funktionieren dieser Programme übernehmen. g) Die im Abschnitt 5 erwähnten Arbeiten werden separat fakturiert. Das Honorar beträgt 180 Franken pro Stunde inklusive Mehrwertsteuer. Diese Separatrechnungen sind innerhalb von 30 Tagen nach Produktionsaufnahme der Programme fällig. 7

8 Einige schlechte Formulierungen: b. Keine Bewilligung des Kostenvoranschlags vor der Ausführung c. Keine Integrationstests, keine Abnahme durch BAP d. Keine Mutationskontrolle der Parametermutationen durch BAP d. Kein Prüfspur von Datenreorganisationen und Elimination von Inkonsistenzen e. Keine Regelung für nachträgliche Tests und Bewilligung von Programmanpassungen a. LE AG stellt die Weiterentwicklung der Anwendungen von BAP sicher. Die übernommenen Programme sind in der Beilage 1 aufgelistet. b. Für Neu- und Weiterentwicklungen erstellt BAP ein Pflichtenheft mit Detailspezifikationen, welche durch die Direktion von BAP vor der Unterbreitung an LE AG zu genehmigen ist. LE AG erstellt einen Kostenvoranschlag und führt die Änderungen bzw. die Entwicklung aus. c. Die Tests der geänderten/neuen Programme werden durch LE AG vorgenommen. Sie umfassen das Austesten der Programmketten, der Plausibilitätskontrollen sowie einen Vergleich mit den vorberechneten Resultaten eines Testspiels, das durch BAP zu liefern ist. d. LE AG setzt und überwacht die für die Anwendung notwendigen Parameter, die durch BAP schriftlich vorzugeben sind. Die Datenbankadministration wird durch LE AG besorgt. LE AG überwacht die Datenbank laufend und trifft gegebenenfalls die notwendigen Massnahmen, z.b. Datenreorganisationen bei Erreichen von Kapazitätsengpässen oder Elimination von Inkonsistenzen nach technischen Systemunterbrüchen. e. Im Falle von auftretenden kleinen Störungen im Ablauf der Verarbeitung kann LE AG eingreifen, um kleine Programmfehler zu korrigieren. Diese Programmanpassungen sind ausserhalb der normalen Verarbeitungszeit durchzuführen. f. Grundsätzlich bleiben die von LE AG übernommenen Programme Eigentum von BAP. Deshalb kann LE AG keine Garantie für das richtige Funktionieren dieser Programme übernehmen. g. Die im Abschnitt 5 erwähnten Arbeiten werden separat fakturiert. Das Honorar beträgt 180 Franken pro Stunde inklusive Mehrwertsteuer. Diese Separatrechnungen sind innerhalb von 30 Tagen nach Produktionsaufnahme der Programme fällig. f. Keine Regelung für Aufbewahrung bzw. Rückgabe des Source- Codes g. kein Kosten- Voranschlag vor der Ausführung 8

9 Wie kann man diese Spielregeln zielorientiert gestalten? Machen Sie Verbesserungsvorschläge! Aber zuerst ein klein Exkurs nach CobiT... 9

10 Die drei wichtigsten Quellen von CobiT: qualification standards (ISO, SPICE, ITIL,...) IT security standards (ITSEC, BS7799, etc...) audit standards (IFAC, IIA, COSO, GAO,...) 10

11 Dank CobiT können sie Control OBjectives for Information miteinander and Related Technology kommunizieren! 11

12 SLA zum Beispiel Control Objectives The service level agreement should cover at least the following aspects: availability, reliability, performance, capacity for growth, levels of support provided to users, continuity planning, security, minimum acceptable level of satisfactorily delivered system functionality, restrictions (limits on the amount of work), service charges, central print facilities (availability), central print distribution and change procedures. (...) Management Guideline Key Performance Indicators Time lag of resolution of a service level change request Time lag to resolve a service level issue Number of times that root cause analysis of service level procedure and subsequent resolution is completed within required period Significance of amount of additional funding needed to deliver the defined service level (...) Audit Guideline Considering whether recourse process is identified for non-performance Testing that historical performance against prior service improvement commitments is tracked (...) 12

13 13

14 Beispiel aus AI5 Programm Change Management Anzahl Softwarerelease- und Verteilungsmethoden pro Plattform Die Leistungs- Indikatoren enthalten gute Lösungsansätze Anzahl Abweichungen von der Standard- Konfiguration Anzahl Zwischenfall-Korrekturen, für die rückwirkend nicht der normale Prozess des Änderungswesens eingesetzt wurde Zeitspanne zwischen der Verfügbarkeit der Korrektur und ihrer Implementierung Verhältnis zwischen akzeptierten und abgewiesenen Anträgen bei der Durchführung einer Änderung 14

15 Beispiel aus DS6 Notfallplan Anzahl und Umfang von Dienstleistungsunterbrechungen unter Zugrundelegung von Kriterien bezüglich Dauer und Auswirkung Zeitspanne zwischen dem Auftreten einer organisatorischen Änderung und der Aktualisierung der Alternativplanung Benötigte Zeit zur Diagnose eines Zwischenfalls und zur Entscheidung, den Alternativplan auszuführen Benötigte Zeit zur Normalisierung des Dienstleistungsgrads nach der Ausführung des Alternativplans Häufigkeit von Tests im Bereich der Dienstleistungskontinuität 15

16 Die Welt des Outsourcings ist nicht immer rosarot! Ein Beispiel aus unserer Praxis Seit Januar 1996 ist die Firma Serco GmbH für den ganzen IT- Betrieb des USW zuständig. Darunter fallen unter anderem die Beschaffung, die Installation und der Betrieb von Netzwerk- Komponenten, Standard Software und Hardware, sowie die Benutzerunterstützung (Helpdesk). Für die ersten drei Jahre (Jan bis Dez. 1998) hat die Firma Serco Honorare in der Höhe von 5'685'000 DM bekommen. Für eine zusätzliche Summe von 2'086'000 DM ist der Vertrag bis Juli 1999 verlängert worden. Neben diesen sogenannten "horizontalen" Dienstleistungen hat USW mit Serco projektbezogene "verticale" Dienstleistungen bis Januar 1999 für eine Grössenordnung von 7'100'000 DM vereinbart. 16

17 Die Feststellungen der EFK (Wirtschaftlichkeit, Integrität) Der Vollzug der im SLA definierten Aufgaben der Firma Serco muss durch USW periodisch überprüft werden. Die meisten der im SLA definierten Leistungsziele werden, trotz den genauen Mess- Vorgaben, nicht gemessen und sind daher nicht kontrollierbar. Die, die effektiv geprüft wurden, sind meistens nicht erreicht worden. Beispielsweise sind die vorgesehenen Dienstleistungen im Bereich IT- Inventar (Wert von ca. 13 Millionen DM) weder erbracht noch kontrolliert worden. Gemäss OSC- Manager fehlen dafür die notwendigen Ressourcen. 17

18 Die Feststellungen der EFK (Integrität, Vertraulichkeit) Auf der Netzwerk-Ebene haben wir festgestellt, dass 6 Systemadministratoren (alle MA von SERCO) unter der gleichen Benutzer-Identifikation auf der Maschine USW-CORE arbeiten. Auf dieser Maschine werden unter anderem die Zugriffe auf das ADP-Subnetz (subnet 48) verwaltet. Die gemeinsame Benutzung einer Benutzer- Identifikation sowie das Bekanntmachen von Passwörtern verunmöglichen die Zuweisung von Aktivitäten an einzelne Personen. 18

19 Bringt Outsourcing wirklich mehr Professionalität? Der Einsatz der Firewall und der Modems am USW erfolgt ohne genehmigtes Konzept. Die installierte Firewall bietet zum heutigen Zeitpunkt nicht die von Serco vorgesehenen Schutz- Mechanismen an. Eine Erhöhung der Sicherheitsfunktionen der Firewall, welche eine Veränderung der Arbeitsabläufe der USW- Mitarbeiter mit sich bringen würde, kann nur durch eine klar definierte Network Security Policy erreicht werden. Diese Network Policy sollte auch den, heute unkontrollierten, Einsatz von Modems regeln. 19

20 Der (hoffentlich!) lange Weg von der Idee bis zum Vertrag «On n externalise bien que ce que l on connaît bien!» Ist-Analyse durch eine neutrale Stelle Saubere Ausschreibung Bewertung der Angebote, Tests Verhandlungen Vertragsgestaltung 20

21 Nicht zu vergessen bei der Vertragsgestaltung Rücknahme des Bereichs (insourcing) Outsourcing beim Outsourcer Rechte der Revision Transparenz im Personalbereich (Sicherheitskontrolle) 21

22 Neben CobiT, hat die ISACA auch noch ein Paar gute Checklisten anzubieten 22

23 Outsourcing hat auch Konsequenzen für die Revision. Das Thema wird heute nicht behandelt. Siehe dazu den neuen Schweizer Prüfungsstandard PS 402 in der Dokumentation PS 402 Firma Dienstleister 23

24 Weitere Fragen? Tel.: 031/

25 f o k u s IT-Outsourcing und Revision Konsequenzen des IT-Outsourcings für die interne und externe Revision Michel Huissoud, Vize-Direktor Eidgenössische Finanzkontrolle, Bern Das Outsourcen von IT-Leistungen birgt neben kurzfristigen finanziellen Vorteilen auch gewisse Risiken in sich. Der Revisor sollte deshalb bei der Vertragsprüfung oder Risikoanalyse verschiedene heikle Faktoren sorgfältig prüfen und diese mit der Unternehmensleitung frühzeitig diskutieren. Das Outsourcen von Arbeitsabläufen ist für viele Unternehmen zur Alltäglichkeit geworden. Die damit verbundenen kurzfristigen finanziellen Vorteile sind jedoch gelegentlich mit Risiken behaftet, die jeder pflichtbewusste Revisor sorgfältig prüfen und frühzeitig mit der Unternehmensleitung diskutieren muss. 1. Auswirkungen auf die Unternehmung Das Outsourcing hat spürbare Auswirkungen auf die gesamte Unternehmung. Für den Revisor kann es entscheidend sein, sich die nachfolgend genannten Faktoren gut zu merken, da sie potenzielle neue Risiken darstellen, die er bei der Vertragsprüfung oder Risikoanalyse berücksichtigen sollte Grössere Abhängigkeit Das Outsourcing dürfte im Allgemeinen die Abhängigkeit einer Unternehmung erhöhen vor allem dann, wenn im ausgelagerten Bereich kein konkurrenzfähiger Markt existiert. Nach einigen Monaten besteht die Gefahr, dass der Dienstleister seine Monopolstellung auszunützen versucht. Für die Unternehmung wird es dann zunehmend schwierig, den ausgelagerten Prozess betriebsintern wieder aufzubauen Gefahr der mangelnden Kontinuität im Strategiemanagement Obwohl sich die Unternehmensstrategie grundsätzlich auf die zentralen Prozesse konzentriert, können Support und Logistik eine wichtige Rolle spielen. Eine Methode vom Typ Balanced Score Card (BSC) sollte beispielsweise das gesamte Personal, das für die Erreichung der strategischen Ziele eingesetzt wird, mit einschliessen. In der Praxis wird man in den Outsourcing-Verträgen aber wohl eher selten Verfahren antreffen, die den Einbezug der Unternehmensstrategie in die Strategie des Dienstleisters garantieren. Dieselben Probleme stellen sich auch bei der ISO 9000-Zertifizierung. Die vom Dienstleister übernommenen Prozesse müssen auf die eine oder andere Weise in die Zertifizierung der Unternehmung integriert werden. Diese Situation geht oft mit einem Mangel an Transparenz einher. Die Unternehmung erfährt nur teilweise oder zu spät von den Problemen des Dienstleisters, von den Entscheidungen und Prioritäten seines Verwaltungsrats oder von finanziellen Schwierigkeiten, mit denen der Dienstleister zu kämpfen hat. Die gerichtlich angeordnete Beschlagnahme im Rahmen einer Betreibung des Fahrzeugparks kann jedoch die ganze Unternehmenstätigkeit des Dienstleisters und letztlich auch der Unternehmung selber lahmlegen Keine Interessenübereinstimmung Manchmal befindet sich der Dienstleister im Besitz der Unternehmung (Beispiel Rechenzentrum der schweizerischen Kantonalbanken). Unter der Voraussetzung, dass alle Beteiligten die gleichen Interessen verfolgen, kann ein solches Gebilde das neue Risiko möglicherweise ausschliessen. In allen anderen Fällen wird sich die Frage stellen, ob ein Dienstleister, der seine eigenen Interessen gefährdet sieht, wirklich bereit sein d i g m a

26 wird, den Verpflichtungen gegenüber Dritten den Vorrang zu geben. Es kommt oft vor, dass ein Dienstleister für mehrere Konkurrenzfirmen derselben Branche arbeitet oder später von einem neuen Unternehmen geschluckt wird. In allen diesen Fällen stellt sich die Frage nach der Treuepflicht und dem Konkurrenzverbot Wegfall der hierarchischen Unterstellung Es gilt als überholt, überhaupt noch von Hierarchien zu sprechen. Wir stellen jedoch fest, dass jede ernsthafte Analyse der internen Kontrollsysteme die Personalanstellungs- und Qualifikationsverfahren mit einschliessen muss, dass Probleme im Privatbereich schwerwiegende Folgen auf das Berufsleben haben können und dass es sehr wichtig ist, im Betrugsfall schnell zu reagieren. Ausserdem sollten für das Personal des Dienstleisters, das die Daten der Unternehmung verarbeitet oder sich in deren Betriebsräumen aufhält, unbedingt dieselben Bedingungen und Einschränkungen wie für das eigene Personal gelten. Das Fehlen einer hierarchischen Unterstellung des Dienstleisterpersonals stellt ein schwerwiegendes Problem dar, das teilweise dadurch gelöst werden kann, dass dem betriebsinternen Kaderpersonal ausdrücklich die Verantwortung für die Beaufsichtigung des Dienstleisterpersonals übertragen wird. Bei dieser Gelegenheit werden jedoch viele Kaderangestellte feststellen, dass im Zuge des Outsourcings zwar viele untergeordnete Stellen frei werden, dafür eher selten solche in höheren Positionen Wissensmanagement: Verlust von qualifiziertem Personal Viele Unternehmungen sind täglich mit dem Problem des zunehmend schnellen technologischen Wandels sowie mit der Schwierigkeit konfrontiert, qualifiziertes Personal rekrutieren und anschliessend auch an sich binden zu können. In dieser Hinsicht wird in vielen Betrieben ein grundlegender Fehler begangen: der analysierte Prozess wird für einen Supportprozess gehalten (zum Beispiel: Entwicklung einer E- Commerce-Applikation) und man möchte sich via Outsourcing von ihm trennen. Dieser Ansatz verschafft zwar kurzfristig eine Lösung der betrieblichen Probleme, birgt jedoch auch das Risiko in sich, einige Monate später den Verlust des Know how feststellen zu müssen, das sich für die Unternehmung Schliesslich enthebt das Outsourcing eines bestimmten Geschäftsbereichs die Unternehmung nicht von der Aufgabe, diesen Bereich sehr gut zu kennen, sei es auch nur, um die Leistungen des Dienstleisters kontrollieren zu können. nachträglich für einen bestimmten Prozess doch noch als zentral erweist. Die für das Wissensmanagement zuständige Person wird sich aber auch fragen müssen, ob die kreativen Kräfte der Unternehmung die Schöpfer von neuem Wissen die den technologischen Fortschritt von morgen sichern, nicht aus eben diesen Spitzentechnologie-Bereichen stammen, die allzu leichtfertig mitsamt dem dazugehörigen Personal ausgelagert werden. Schliesslich enthebt das Outsourcing eines bestimmten Geschäftsbereichs die Unternehmung nicht von der Aufgabe, diesen Bereich sehr gut zu kennen, sei es auch nur, um die Leistungen des Dienstleisters kontrollieren zu können. Unter Umständen ist es aber auch möglich, sogar diese Aufgabe auszulagern, indem sie zum Beispiel an einen zweiten Dienstleister vergeben wird Schwindende Motivation des Personals Es kommt ziemlich häufig vor, dass das einem bestimmten Prozess zugeordnete Personal entlassen und anschliessend vom Dienstleister übernommen wird. Ein solches Vorgehen kann jedoch das Arbeitsklima beeinträchtigen und die Loyalität des Personals gegenüber dem Betrieb, in welchem es im Namen des Dienstleisters mitarbeiten soll, untergraben. 2. Externe Prüfung 2.1. Der GZA 18 und die Revisionsnorm ISA 402 Die IFAC (International Federation of Accountants, vgl. hat eine internationale Revisionsnorm aufgestellt (ISA 402) welche kürzlich in den Grundsatz zur Abschlussprüfung (GZA 18) «Outsourcing-Verhältnis» der schweizerischen Treuhand-Kammer übernommen worden ist. Der Prüfer muss die Auswirkungen der erbrachten Dienstleistungen auf die Buchhaltungs- und die internen Kontrollsysteme des Kunden bewerten, damit die Revision vorbe- d i g m a

27 f o k u s reitet und ein effizienter Prüfungsansatz gewählt werden kann. Es gibt dabei keine festen Regeln, nach denen die Relevanz eines Prozesses bestimmt werden kann. Den Betrieb des internen Informatiknetzes einer Bank oder einer Erdölgesellschaft auszulagern hat sicher nicht die gleiche Bedeutung. Wenn der Prüfer zum Schluss kommt, dass die ausgelagerten Geschäftsbereiche für die Unternehmung signifikant sind und sich demzufolge auf die Revision auswirken, muss er genügend Informationen zusammentragen, um das Buchhaltungs- und interne Kontrollsystem zu verstehen. Erachtet es der Prüfer für notwendig, die Wirksamkeit der internen Kontrollsysteme zu Es kommt ziemlich häufig vor, dass das einem bestimmten Prozess zugeordnete Personal entlassen und anschliessend vom Dienstleister übernommen wird. überprüfen, hat er drei Möglichkeiten: Er kann die Kontrollen prüfen, denen die Unternehmung die Aktivitäten des Dienstleisters unterzieht. Er kann vom Revisor des Dienstleisters einen Bericht über die Wirksamkeit der Buchhaltungs- und der internen Kontrollsysteme sowie über die Behandlung der Applikationen, die im Rahmen der Revision untersucht werden, verlangen. Er kann schliesslich beim Dienstleister Einhalteprüfungen durchführen. Diese zwei Normen weisen leider eine Lücke auf: im Outsourcingbereich ist die Prüfung der Fähigkeit der Unternehmung zur Weiterführung ihrer Geschäftstätigkeit vergessen gegangen trotz der nicht unerheblichen Risiken, denen sie mit dem Outsourcing ausgesetzt wird. Ein Verweis auf den GZA 13 «Fortführung der Unternehmenstätigkeit» (bzw. ISA 570 «Going concern») wäre sicher angebracht gewesen. 3. Interne Prüfung 3.1. Zielsetzungen und Normen Die Rolle der internen Revision ist schwergewichtig anders gelagert, weil sie auch die Überprüfung der Umsetzung der Gesamtstrategie der Unternehmensleitung (sogenannte Governance) erfasst. Wird auf das von der ISACA vorgeschlagene COBIT-Modell Bezug genommen, schliesst der Prüfauftrag des internen Revisors alle Kriterien mit ein, das heisst: Wirksamkeit (effectiveness), Wirtschaftlichkeit (efficiency), Vertraulichkeit (confidentiality), Integrität (integrity), Verfügbarkeit (availability), Einhaltung rechtlicher Erfordernisse (compliance) und Zuverlässigkeit (reliability). Die IIA (The Institute of Internal Auditors) hat selber keine Norm aufgestellt, die der ISA 402-Norm der IFAC entsprechen und diese in den spezifischen Bereichen der internen Revision ergänzen würde Am Outsourcing-Entscheid mitwirken Der interne Revisor muss insbesondere dafür sorgen, dass: die Prozesse, deren Auslagerung vorgesehen ist, für die Unternehmung nicht von strategischer Bedeutung sind, die Unternehmung das Wissen besitzt, das für die Auswahl und anschliessend für die Kontrolle des Dienstleisters notwendig ist, ein vollständiges Pflichtenheft erstellt wird, bevor die Suche nach einem geeigneten Dienstleister eröffnet wird, die Unternehmung im Auswahlverfahren des Dienstleisters von optimalen Verhandlungsbedingungen profitieren kann, insbesondere in wichtigen Fällen vor Abschluss des Outsourcing-Vertrags eine Prüfung beim Dienstleister durchge-führt wird, der Vertragsentwurf vor seiner Unterzeichnung den internen Revisoren zur Begutachtung und Stellungnahme vorgelegt wird Aushandeln des Outsourcing-Vertrags Stellung des Revisors Nebst den bereits angesprochenen Punkten muss der interne Revisor insbesondere Folgendes beachten. Die Erwähnung der Revisionsrechte im Outsourcing-Vertrag ist äusserst wichtig. Es liegt im ureigensten Interesse des Revisors, auch die Interessen der externen Revisoren zu verteidigen. Die Erfahrung zeigt, dass es sehr wichtig ist, den Dienstleister dazu zu zwingen, den Revisoren während der für die Revisionsarbeiten notwendigen Dauer das erforderliche qualifizierte Personal für Fragebeantwortung zur Verfügung zu stellen, und zwar ohne diese Leistungen zu fakturieren. Ausserdem sollte vertraglich festgelegt werden, dass die Empfehlungen des Revisors möglichst rasch umzusetzen sind, ohne dass daraus zusätzliche Kosten erwachsen d i g m a

28 Es ist verständlich, dass ein Dienstleister, der sein Produkt gleichzeitig mehreren Dutzend Unternehmungen verkauft, es vermeiden möchte, einzeln mit den Revisoren all dieser Kunden verhandeln zu müssen. Er wird im Allgemeinen seinen eigenen Revisor damit beauftragen und ihn bitten, die Ergebnisse dieser Arbeiten den Prüfern seiner Kunden mitzuteilen. Eine solche Lösung sollte jedoch nur akzeptiert werden, wenn der betriebseigene Revisor das Arbeitsprogramm des Dienstleister-Revisors bestimmen und in dessen Berichte Einsicht nehmen darf Weitere wichtige Punkte Ob ein Outsourcing-Vertrag korrekt erfüllt wurde, kann nur dann überprüft werden, wenn zuvor messbare Ziele festgelegt worden sind. Im Informatikbereich zählt die Version 3 von COBIT für jeden Prozess und für jedes Kontrollziel eine Liste von Erfolgsfaktoren und entsprechenden Indikatoren auf. Für das Überleben der Unternehmung kann es sehr wichtig sein, dass die Möglichkeit der Auflösung des Outsourcing-Vertrags besteht, und zwar nicht nur juristisch, sondern auch technisch. In der Praxis kann das heissen, dass die elektronisch verarbeiteten Daten der Unternehmung bei einem Dritten in einem Standardformat, das ihr bekannt ist, aufbewahrt werden. 4. Schlussfolgerungen Wenn eine Unternehmung von den Möglichkeiten des Outsourcings Gebrauch macht, liefert sie den Beweis ihrer Eigeninitiative. Sie verdient es, dass ihre Revisoren sie auf dem eingeschlagenen Weg unterstützen. Die Revisoren ihrerseits sind gut beraten, das Vorhaben ernst zu nehmen und sich ihm mit ihrer ganzen Energie zu widmen, um seinen Erfolg zu garantieren. K u r z u n d b ü n d i g 3.4. Prüfung des Outsourcings Insbesondere in den ersten Monaten geht es vor allem darum zu überprüfen, ob die im Outsourcing-Vertrag festgelegten Ziele wirklich gemessen und die vorgesehenen Werte erreicht worden sind. Anschliessend empfiehlt es sich zu kontrollieren, ob die ausgelagerten Prozesse in der Zwischenzeit eine strategische Bedeutung erlangt haben, die es rechtfertigen würde, sie wieder in die Unternehmung zu integrieren; es empfiehlt sich ausserdem, die Leistungen des Dienstleisters zu bewerten, wobei es nicht nur darum geht, für ein angemessenes Kosten/Nutzenverhältnis zu sorgen, sondern auch zu prüfen, ob das technologische Wissen des Dienstleisters es der Unternehmung erlaubt, das Niveau der Konkurrenz zu erreichen oder zu halten. Neben kurzfristigen finanziellen Vorteilen bringt das Outsourcen auch gewisse Risiken mit sich. Der Revisor sollte deshalb bei der Vertragsprüfung oder Risikoanalyse einige Faktoren sorgfältig prüfen und diese mit der Unternehmensleitung frühzeitig ausdiskutieren. Outsourcing hat für Unternehmungen im Allgemeinen erhöhte Abhängigkeit zur Folge oder kann eine Gefahr für die Kontinuität des Strategiemanagements darstellen. Ein weiterer Risikofaktor kann die fehlende Interessenübereinstimmung sein zumal dann, wenn zugleich auch Interessen des Dientsleisters betroffen sind. Als Folge des Wegfalls der hierarchischen Unterstellung kann dem betriebsinternen Kader die Verantwortung für die Beaufsichtigung des Personals des Dienstleisters übertragen werden, für welches im Übrigen dieselben Bedingungen und Einschränkungen wie für das eigene Personal gelten sollten. Outsourcing kann aber auch den Verlust von Know how nach sich ziehen, wenn jene Bereiche ausgelagert werden, die den technologischen Fortschritt von morgen sichern. Zu beachten ist schliesslich, dass eine korrekte Erfüllung des Outsourcing-Vertrages nur dann überprüft werden kann, wenn messbare Ziele festgelegt wurden. Denn in den ersten Monaten wird vor allem zu überprüfen sein, ob die im Outsourcing-Vertrag festgelegten Ziele wirklich gemessen und die vorgesehenen Werte erreicht worden sind. d i g m a

29 PS 402 Dienstleistungsorganisationen Auswirkung auf die Abschlussprüfung Schweizer Prüfungsstandard: Unternehmen, die Dienstleistungsorganisationen in Anspruch nehmen Auswirkung auf die Abschlussprüfung (PS 402) "Einstiegshilfe" Ziffer Dieser PS gibt Anleitungen für einen Prüfer, dessen Kunde eine Dienstleistungsorganisation in Anspruch nimmt. Der Prüfer muss in Betracht ziehen, wie die Inanspruchnahme der Dienstleistungsorganisation das Rechnungswesen-System und die interne Kontrolle des Kunden beeinflusst. 1-3 PS 400 Überlegungen des Abschlussprüfers Dienstleistungsorganisationen können eigenverantwortlich Transaktionen ausführen oder nur Transaktionen aufzeichnen und Daten verarbeiten. Der Prüfer muss feststellen, wie wesentlich die Aktivitäten von Dienstleistungsorganisationen für den Kunden und wie relevant sie für die Abschlussprüfung sind. (Liste von Aspekten für diese Beurteilung in Ziffer 5). Kommt der Prüfer bei dieser Beurteilung zum Schluss, dass die Einschätzung des Kontrollrisikos nicht von den Kontrollen der Dienstleistungsorganisation abhängt, erübrigt sich die Anwendung dieses PS. Kommt der Prüfer hingegen zum Schluss, dass die Aktivitäten der Dienstleistungsorganisation für den Kunden wesentlich und für die Abschlussprüfung relevant sind, so muss er hinreichende Informationen erlangen, um das Rechnungswesen-System und die interne Kontrolle zu verstehen und um das Kontrollrisiko entweder als maximal oder im Anschluss an verfahrensorientierte Prüfungshandlungen als geringer einzuschätzen. 4, 5 7 Die Erlangung dieser Informationen ist auf folgenden Wegen möglich: Der Bericht des Prüfers der Dienstleistungsorganisation (fortan: "anderer Prüfer") gibt hinreichende Informationen. Der andere Prüfer wird beauftragt, bestimmte Prüfungshandlungen vorzunehmen. Der Prüfer beschafft sich die Informationen bei der Dienstleistungsorganisation selbst

30 PS 402 Dienstleistungsorganisationen Auswirkung auf die Abschlussprüfung Berichte des anderen Wirtschaftsprüfers Verwendet der Prüfer einen Bericht des anderen Prüfers, muss er Art und Inhalt dieses Berichts würdigen. Je nach Art und Umfang des Berichtes des anderen Prüfers (Beispiele in Ziffer 12) wird der Nutzen für die Erlangung des gebotenen Verständnisses von Rechnungswesen-System und interner Kontrolle der Dienstleistungsorganisation unterschiedlich sein. Damit sind auch die Prüfungsnachweise und letztlich Einschätzung des Kontrollrisikos je nach Bericht des anderen Prüfers unterschiedlich. Der andere Prüfer kann mit bestimmten Prüfungshandlungen beauftragt sein, deren Ergebnisse der Prüfer verwenden kann. Solche Prüfungshandlungen kann der Prüfer und der Kunde mit der Dienstleistungsorganisation und dem anderen Prüfer vereinbart haben. Verwendet der Prüfer einen Bericht des anderen Prüfers, nimmt er üblicherweise in seinem Bericht keinen Bezug auf den Bericht des anderen Prüfers

31 PS 402 Dienstleistungsorganisationen Auswirkung auf die Abschlussprüfung Schweizer Prüfungsstandard: Unternehmen, die Dienstleistungsorganisationen in Anspruch nehmen Auswirkung auf die Abschlussprüfung (PS 402) Einleitung Überlegungen des Abschlussprüfers Berichte des anderen Wirtschaftsprüfers Der vorliegende Schweizer Prüfungsstandard (PS) wurde vom Vorstand der Treuhand-Kammer am 11. Juni 2004 verabschiedet. Er setzt ISA 402 Audit Considerations Relating to Entities Using Service Organizations um. Er gilt für Prüfungen von Abschlüssen für Perioden, die am 1. Januar 2005 oder danach beginnen. Er ist im Zusammenhang mit der Einleitung zu den Schweizer Prüfungsstandards (PS) zu verstehen, welche den Anwendungsbereich und die Verbindlichkeit der PS darlegt. Einleitung 1 Zweck dieses PS ist die Aufstellung von Grundsätzen und Erläuterungen zuhanden eines Abschlussprüfers, dessen Kunde eine Dienstleistungsorganisation (Ziffer 3) in Anspruch nimmt (im Folgenden: "Abschlussprüfer"). Der PS enthält auch Überlegungen zur Berichterstattung des Abschlussprüfers oder beauftragten Wirtschaftsprüfers der Dienstleistungsorganisation (im Folgenden: "anderer Wirtschaftsprüfer"). 2 Zum Zwecke der Planung und Entwicklung eines wirkungsvollen Prüfungsansatzes muss der Abschlussprüfer in Betracht ziehen, wie die Inanspruchnahme der Dienstleistungsorganisation das Rechnungswesen-System und die interne Kontrolle des Kunden (s. PS 400 Risikobeurteilung und interne Kontrolle) beeinflusst. 237

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

(Un)mögliche Prüfung von Outsourcing

(Un)mögliche Prüfung von Outsourcing (Un)mögliche Prüfung von Outsourcing Michel Huissoud lic. iur, CISA, CIA zugelassener Revisionsexperte RAB Vizedirektor, Eidgenössische Finanzkontrolle, www.efk.admin.ch Mitglied des Fachstabs für Informatik

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Schweizer Prüfungsstandard: Risikobeurteilung und interne Kontrolle (PS 400)

Schweizer Prüfungsstandard: Risikobeurteilung und interne Kontrolle (PS 400) Schweizer Prüfungsstandard: Risikobeurteilung und interne Kontrolle (PS 400) "Einstiegshilfe" Ziffer Dieser PS gibt Anleitungen zum Verständnis des Rechnungswesen-Systems, der internen Kontrolle sowie

Mehr

Übersetzung des englischen Berichts. SAS 70 Type II. Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren.

Übersetzung des englischen Berichts. SAS 70 Type II. Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren. SAS 70 Type II Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren DATEVasp Für den Zeitraum: 1. Januar 2010 bis 30. September 2010 Inhaltsverzeichnis SEKTION I... 3

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert ? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Inhaltsverzeichnis. 4.1 Zweck des Leitbildes... 26 4.2 Präambel... 26 4.3 Leitbild... 27

Inhaltsverzeichnis. 4.1 Zweck des Leitbildes... 26 4.2 Präambel... 26 4.3 Leitbild... 27 Vorwort... 5 1 Grundlagen der Internen Revision... 13 2 Implementierung einer Internen Revision... 14 2.1 Allgemeines... 14 2.2 Ausgangslage... 14 2.3 Gründe für die Implementierung... 14 2.4 Trends in

Mehr

Verordnung über die Banken und Sparkassen

Verordnung über die Banken und Sparkassen Verordnung über die Banken und Sparkassen (Bankenverordnung, BankV) Entwurf Änderung vom Der Schweizerische Bundesrat verordnet: I Die Bankenverordnung vom 17. Mai 1972 1 wird wie folgt geändert: Gliederungstitel

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014 Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014 Bericht der Revisionsstelle an den Stiftungsrat der Personal-Vorsorgestiftung

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Testfragen PRINCE2 Foundation

Testfragen PRINCE2 Foundation Testfragen PRINCE2 Foundation Multiple Choice Prüfungsdauer: 20 Minuten Hinweise zur Prüfung 1. Sie sollten versuchen, alle 25 Fragen zu beantworten. 2. Zur Beantwortung der Fragen stehen Ihnen 20 Minuten

Mehr

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you.

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you. Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002 Manfred Scholz, CISA Manfred.Scholz@sec4you.com Internet Banking aus der Sicht eines Prüfers Anforderungen

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 PKF Industrie- und Verkehrstreuhand GmbH Wirtschaftsprüfungsgesellschaft, München

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

Continuous Auditing eine gut gemeinte aber schlechte Idee kommt zurück

Continuous Auditing eine gut gemeinte aber schlechte Idee kommt zurück Continuous Auditing eine gut gemeinte aber schlechte Idee kommt zurück Michel Huissoud Lic.iur, CISA, CIA 5. November 2012 - ISACA/SVIR-Fachtagung - Zürich Überwachung Continuous Monitoring Continuous

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Dok.-Nr.: Seite 1 von 6

Dok.-Nr.: Seite 1 von 6 Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Carl Schenck Aktiengesellschaft Darmstadt. Testatsexemplar Jahresabschluss 31. Dezember 2012. Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft

Carl Schenck Aktiengesellschaft Darmstadt. Testatsexemplar Jahresabschluss 31. Dezember 2012. Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft Carl Schenck Aktiengesellschaft Darmstadt Testatsexemplar Jahresabschluss 31. Dezember 2012 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft Inhaltsverzeichnis Bestätigungsvermerk Rechnungslegung Auftragsbedingungen,

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

Fachhochschule Braunschweig/Wolfenbüttel Fachbereich Versorgungstechnik

Fachhochschule Braunschweig/Wolfenbüttel Fachbereich Versorgungstechnik Fachhochschule Braunschweig/Wolfenbüttel Fachbereich Versorgungstechnik Master Outsourcing in der Instandhaltung Potentiale Chancen Risiken Christoph Loy Matrikel Nr.: 20074139 Erstprüfer: Professor Dr.-Ing.

Mehr

Fall 4: Standard Software falsch behandelt

Fall 4: Standard Software falsch behandelt Fall 4: Standard Software falsch behandelt Bernhard Hamberger Partner Ernst & Young, Bern 4: Standard-Software falsch behandelt Fehlende Prüfungshandlungen im Bereich ERP-Systeme Das Unternehmen hat ein

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Internes Kontrollsystem und andere Neuerungen im Schweizer Recht

Internes Kontrollsystem und andere Neuerungen im Schweizer Recht und andere Neuerungen im Schweizer Recht Inkrafttreten. Januar 008. November 007 Slide Vorbemerkung: Die neuen Bestimmungen zum Revisionsrecht Gesellschaftsgrösse Publikumsgesellschaft Wirtschaftlich bedeutende

Mehr

Zusammenfassung und Abschluss

Zusammenfassung und Abschluss ISACA/SVIR-Fachtagung Erfolgreiche Zusammenarbeit zwischen interner und externer (IT-) Revision Zusammenfassung und Abschluss Peter R. Bitterli, Ausbildungsverantwortlicher ISACA-CH Eine persönliche Zusammenfassung

Mehr

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel Datum des LAV-Beschlusses: 05.11.2012 Seite 1 von 9 Inhalt 1 Zweck, Ziel... 1 2 Geltungsbereich... 2 3 Begriffe, Definitionen... 2 4 Verfahren... 2 4.1 Planung der Audits... 5 4.2 Vorbereitung des Audits...

Mehr

Welcher Punkt ist / welche Punkte sind bei der Gestaltung des Qualitätsmanagementhandbuch (QMH) vorteilhaft?

Welcher Punkt ist / welche Punkte sind bei der Gestaltung des Qualitätsmanagementhandbuch (QMH) vorteilhaft? 1. Welcher Punkt ist / welche Punkte sind bei der Gestaltung des Qualitätsmanagementhandbuch (QMH) vorteilhaft? a. Eine einfache Gliederung. b. Möglichst lange und ausführliche Texte. c. Verwendung grafischer

Mehr

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 www.dvgw-regelwerk.de Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 Sicherheit in der Gasversorgung; Risikomanagement von gastechnischen Infrastrukturen im Normalbetrieb Security of Gas Supply;

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

Fall 1: Keine Übersicht (Topographie)

Fall 1: Keine Übersicht (Topographie) Fall 1: Keine Übersicht (Topographie) Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-1: Keine Übersicht (Topographie) a) Darstellung der wesentlichen Geschäftsprozesse

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Fall 8: IKS-Prüfung nicht dokumentiert

Fall 8: IKS-Prüfung nicht dokumentiert Fall 8: IKS-Prüfung nicht dokumentiert Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-8: IKS-Prüfung nicht dokumentiert a) Die Prüfung des IKS wurde nicht dokumentiert

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

Die neue ISO 9001:2015 Neue Struktur

Die neue ISO 9001:2015 Neue Struktur Integrierte Managementsysteme Die neue ISO 9001:2015 Neue Struktur Inhalt Neue Struktur... 1 Die neue ISO 9001:2015... 1 Aktuelle Status der ISO 9001... 3 Änderungen zu erwarten... 3 Ziele der neuen ISO

Mehr

Risikomanagement zahlt sich aus

Risikomanagement zahlt sich aus Risikomanagement zahlt sich aus Thurgauer Technologieforum Risikobeurteilung - Was bedeutet das für meinen Betrieb? Tägerwilen, 19.11.2008 1 Ausgangslage (1) Jede verantwortungsbewusste Unternehmensleitung

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

OPPORTUNITIES AND RISK ANALYSIS Sicherheit Outsourced Domain SEITE 1

OPPORTUNITIES AND RISK ANALYSIS Sicherheit Outsourced Domain SEITE 1 OPPORTUNITIES AND RISK ANALYSIS Sicherheit Outsourced Domain SEITE 1 1 Definitionen - Die im Subvertrag Sicherheit outsourced Domain erwähnten zentralen und wichtigen Ausdrücke sind ausformuliert und erklärt.

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

INTERNE KONTROLLE IN DER ÖFFENTLICHEN VERWALTUNG

INTERNE KONTROLLE IN DER ÖFFENTLICHEN VERWALTUNG INTERNE KONTROLLE IN DER ÖFFENTLICHEN VERWALTUNG Konzept Vorgehen - Betrieb PIRMIN MARBACHER 7. März 2013 REFERENT Pirmin Marbacher dipl. Wirtschaftsprüfer Betriebsökonom FH Prüfer und Berater von öffentlichen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

POCT und Akkreditierung

POCT und Akkreditierung POCT und Akkreditierung Medizinisches Versorgungszentrum Dr. Eberhard & Partner. Dortmund www.labmed.de Seite 1 Inhaltsübersicht DIN EN ISO 22870 Weitergehende Regelungen zur DIN EN ISO 15189 DAkkS Checkliste

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Ausführungen zum Internen Kontrollsystem IKS

Ausführungen zum Internen Kontrollsystem IKS Ausführungen zum Internen Kontrollsystem IKS verantwortlich Fachbereich Alter Ausgabedatum: April 2008 CURAVIVA Schweiz Zieglerstrasse 53 3000 Bern 14 Telefon +41 (0) 31 385 33 33 info@curaviva.ch www.curaviva.ch

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

Inhaltsübersicht. 1 Einleitung 1. 2 Einführung und Grundlagen 7. 3 Das CoBiT-Referenzmodell 41. 4 Das Val-IT-Referenzmodell 143

Inhaltsübersicht. 1 Einleitung 1. 2 Einführung und Grundlagen 7. 3 Das CoBiT-Referenzmodell 41. 4 Das Val-IT-Referenzmodell 143 xiil Inhaltsübersicht 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT 7 2.2 Trends und Treiber 8 2.3 Geschäftsarchitektur für IT-Governance 20 2.4 IT-Governance: Begriff und Aufgaben

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

für das ICT Risk Management

für das ICT Risk Management Rechtliche Verantwortung für das ICT Risk Management 12. Berner Tagung für Informationssicherheit 2009 Dr. Wolfgang g Straub Deutsch Wyss & Partner ISSS Berner Tagung 2009 1 SQL injection gegen Webshop

Mehr

Schweizer Verordnung über Bedarfsgegenstände in Kontakt mit Lebensmitteln (SR 817.023.21) Zugelassene Stoffe für Verpackungstinten

Schweizer Verordnung über Bedarfsgegenstände in Kontakt mit Lebensmitteln (SR 817.023.21) Zugelassene Stoffe für Verpackungstinten Schweizer Verordnung über Bedarfsgegenstände in Kontakt mit Lebensmitteln (SR 817.023.21) Zugelassene Stoffe für Verpackungstinten Fragen und Antworten Seite 1 von 6 Das Eidgenössische Department des Innern

Mehr

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Was Sie vom Provider (auch) verlangen sollten

Was Sie vom Provider (auch) verlangen sollten 25.1.2005 Rechtliche Vorgaben beim Outsourcing von Bank-IT: Was Sie vom Provider (auch) verlangen sollten David Rosenthal Die «üblichen» Vorgaben - Übergang von Arbeitsverhältnissen bei Betriebsübergang

Mehr

Strategien und Konzepte des Facility Management Sourcing fmpro Fachtagung, 22.April 2015

Strategien und Konzepte des Facility Management Sourcing fmpro Fachtagung, 22.April 2015 Strategien und Konzepte des Facility Sourcing fmpro Fachtagung, 22.April 2015 Institut für Facility an der ZHAW Ronald Schlegel 1 Facility in erfolgreichen Unternehmen Erfolgreiche Unternehmen sind in

Mehr

Aktuelle Themen der Informatik

Aktuelle Themen der Informatik Aktuelle Themen der Informatik Change Management Michael Epple AI 8 Inhalt: 1. Einführung 2. Begriffsbestimmungen 3. Ablauf des Change Management Prozesses 4. Zusammenhang zwischen Change Management, Configuration

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Jahresrechnung zum 31. Dezember 2014

Jahresrechnung zum 31. Dezember 2014 PRÜFUNGSBERICHT Jahresrechnung zum 31. Dezember 2014 Bolivianisches Kinderhilfswerk e. V. Stuttgart KPMG AG Wirtschaftsprüfungsgesellschaft An den Bolivianische Kinderhilfswerk e.v., Stuttgart 1 Prüfungsauftrag

Mehr

Anleitung zur Umsetzung der Forderungen der Revision der ISO 9001:2015

Anleitung zur Umsetzung der Forderungen der Revision der ISO 9001:2015 Anleitung zur Umsetzung der Forderungen der Revision der ISO 9001:2015 Änderungen bezüglich Struktur, Terminologie und Konzepte Struktur und Terminologie Die Gliederung (d. h. Abschnittsreihenfolge) und

Mehr

Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz

Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz Das schweizerische Signaturgesetz (ZertES) ist die gesetzliche Grundlage für qualifizierte digitale

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden - Aktueller Stand 2 1. Einleitung 1.1 Ausgangssituation 1.2 Definitionen 1.3 Zielsetzung 1.4 Standards 2. Anforderungen an den QAR-IT-Prüfer

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Rahmenkonzept zu Auftragsarten

Rahmenkonzept zu Auftragsarten Stellungnahme des Fachsenats für Unternehmensrecht und Revision der Kammer der Wirtschaftstreuhänder Rahmenkonzept zu Auftragsarten (beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Grundsätze zum Umgang mit Interessenkonflikten

Grundsätze zum Umgang mit Interessenkonflikten Grundsätze zum Umgang mit Interessenkonflikten Stand: Dezember 2014 I. Einleitung Das Handeln im Kundeninteresse ist das Leitbild, das die Geschäftsbeziehung der Lingohr & Partner Asset Management GmbH

Mehr

REVISIONSHANDBUCH FÜR DEN MITTELSTAND. Die Praxis der Internen Revision. herausgegeben von. bearbeitet von. Dipl.-Ing.

REVISIONSHANDBUCH FÜR DEN MITTELSTAND. Die Praxis der Internen Revision. herausgegeben von. bearbeitet von. Dipl.-Ing. REVISIONSHANDBUCH FÜR DEN MITTELSTAND Die Praxis der Internen Revision herausgegeben von Dipl.-Ing. OTTOKAR SCHREIBER bearbeitet von Dipl.-Kff. ANJA HEIN Ass. SYLVIA KOKENGE, MBA Betriebswirt KLAUS-DIETER"

Mehr

Umgang mit Interessenkonflikten - Deutsche Bank Gruppe. Deutsche Asset Management Deutschland

Umgang mit Interessenkonflikten - Deutsche Bank Gruppe. Deutsche Asset Management Deutschland Umgang mit Interessenkonflikten - Deutsche Bank Gruppe Deutsche Asset Management Deutschland Stand: 2012 Inhalt 1. LEITMOTIV... 3 2. EINFÜHRUNG... 3 3. ZIELSETZUNG... 3 4. ANWENDUNGSBEREICH... 3 5. REGELUNGEN

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr