Outsourcing: Gute Verträge fördern die Kommunikation

Größe: px
Ab Seite anzeigen:

Download "Outsourcing: Gute Verträge fördern die Kommunikation"

Transkript

1 Outsourcing: Gute Verträge fördern die Kommunikation Minisymposium Berner Fachhochschule IWV (CC egov) Michel Huissoud Lic. iur., Certified Information Systems Auditor, Certified Internal Auditor Vizedirektor der Eidgenössischen Finanzkontrolle Vizepräsident ISACA (Schweiz)

2 Eine Definition? Outsourcing = «giving someone else your problem» 2

3 Warm-up.. Wer ist die EFK? «E.F.K.»: welcher Buchstabe ist falsch? Wem ist die EFK unterstellt: Dem Bundesrat oder dem Parlament? Ist die EFK nach Kunden oder nach Fachbereichen organisiert? Wie alt ist die EFK? EFK: Interne oder externe Revision? 3

4 Auch die EFK fördert die Suche nach dem guten Mittelweg , the above authors hi d l i b f l i d i f

5 Warm-up.. Wer ist die ISACA? Ist die ISACA ein internationaler oder ein schweizerischer Verband? Was ist ein CISA? Was ist ein CISM? Darf ein Abschlussprüfer ohne IT- Revisionskenntnisse arbeiten? Ist die ISACA nur in der Finanzbranche aktiv? 5

6 Trend: Welche Bereiche sind für ihr Unternehmen ein Outsourcingthema? 1. Priorität: Applikationsentwicklung/Maintenance mit 39.4 % (Computerworld, Okt. 2004) Beispiel: Das Bundesamt für Privatisierungen (BAP) hat entschieden, die Weiterentwicklung seiner IT- Anwendungen bei LE AG auszulagern Das Artikel 5 der Vereinbarung enthält die Spielregeln. Sie haben 5 Minuten um 5 Fehler zu finden. 6

7 Art. 5. Weiterentwicklung der Anwendungen a) LE AG stellt die Weiterentwicklung der Anwendungen von BAP sicher. Die übernommenen Programme sind in der Beilage 1 aufgelistet. b) Für Neu- und Weiterentwicklungen erstellt BAP ein Pflichtenheft mit Detailspezifikationen, welche durch die Direktion von BAP vor der Unterbreitung an LE AG zu genehmigen ist. LE AG erstellt einen Kostenvoranschlag und führt die Änderungen bzw. die Entwicklung aus. c) Die Tests der geänderten/neuen Programme werden durch LE AG vorgenommen. Sie umfassen das Austesten der Programmketten, der Plausibilitätskontrollen sowie einen Vergleich mit den vorberechneten Resultaten eines Testspiels, das durch BAP zu liefern ist. d) LE AG setzt und überwacht die für die Anwendung notwendigen Parameter, die durch BAP schriftlich vorzugeben sind. Die Datenbankadministration wird durch LE AG besorgt. LE AG überwacht die Datenbank laufend und trifft gegebenenfalls die notwendigen Massnahmen, z.b. Datenreorganisationen bei Erreichen von Kapazitätsengpässen oder Elimination von Inkonsistenzen nach technischen Systemunterbrüchen. e) Im Falle von auftretenden kleinen Störungen im Ablauf der Verarbeitung kann LE AG eingreifen, um kleine Programmfehler zu korrigieren. Diese Programmanpassungen sind ausserhalb der normalen Verarbeitungszeit durchzuführen. f) Grundsätzlich bleiben die von LE AG übernommenen Programme Eigentum von BAP. Deshalb kann LE AG keine Garantie für das richtige Funktionieren dieser Programme übernehmen. g) Die im Abschnitt 5 erwähnten Arbeiten werden separat fakturiert. Das Honorar beträgt 180 Franken pro Stunde inklusive Mehrwertsteuer. Diese Separatrechnungen sind innerhalb von 30 Tagen nach Produktionsaufnahme der Programme fällig. 7

8 Einige schlechte Formulierungen: b. Keine Bewilligung des Kostenvoranschlags vor der Ausführung c. Keine Integrationstests, keine Abnahme durch BAP d. Keine Mutationskontrolle der Parametermutationen durch BAP d. Kein Prüfspur von Datenreorganisationen und Elimination von Inkonsistenzen e. Keine Regelung für nachträgliche Tests und Bewilligung von Programmanpassungen a. LE AG stellt die Weiterentwicklung der Anwendungen von BAP sicher. Die übernommenen Programme sind in der Beilage 1 aufgelistet. b. Für Neu- und Weiterentwicklungen erstellt BAP ein Pflichtenheft mit Detailspezifikationen, welche durch die Direktion von BAP vor der Unterbreitung an LE AG zu genehmigen ist. LE AG erstellt einen Kostenvoranschlag und führt die Änderungen bzw. die Entwicklung aus. c. Die Tests der geänderten/neuen Programme werden durch LE AG vorgenommen. Sie umfassen das Austesten der Programmketten, der Plausibilitätskontrollen sowie einen Vergleich mit den vorberechneten Resultaten eines Testspiels, das durch BAP zu liefern ist. d. LE AG setzt und überwacht die für die Anwendung notwendigen Parameter, die durch BAP schriftlich vorzugeben sind. Die Datenbankadministration wird durch LE AG besorgt. LE AG überwacht die Datenbank laufend und trifft gegebenenfalls die notwendigen Massnahmen, z.b. Datenreorganisationen bei Erreichen von Kapazitätsengpässen oder Elimination von Inkonsistenzen nach technischen Systemunterbrüchen. e. Im Falle von auftretenden kleinen Störungen im Ablauf der Verarbeitung kann LE AG eingreifen, um kleine Programmfehler zu korrigieren. Diese Programmanpassungen sind ausserhalb der normalen Verarbeitungszeit durchzuführen. f. Grundsätzlich bleiben die von LE AG übernommenen Programme Eigentum von BAP. Deshalb kann LE AG keine Garantie für das richtige Funktionieren dieser Programme übernehmen. g. Die im Abschnitt 5 erwähnten Arbeiten werden separat fakturiert. Das Honorar beträgt 180 Franken pro Stunde inklusive Mehrwertsteuer. Diese Separatrechnungen sind innerhalb von 30 Tagen nach Produktionsaufnahme der Programme fällig. f. Keine Regelung für Aufbewahrung bzw. Rückgabe des Source- Codes g. kein Kosten- Voranschlag vor der Ausführung 8

9 Wie kann man diese Spielregeln zielorientiert gestalten? Machen Sie Verbesserungsvorschläge! Aber zuerst ein klein Exkurs nach CobiT... 9

10 Die drei wichtigsten Quellen von CobiT: qualification standards (ISO, SPICE, ITIL,...) IT security standards (ITSEC, BS7799, etc...) audit standards (IFAC, IIA, COSO, GAO,...) 10

11 Dank CobiT können sie Control OBjectives for Information miteinander and Related Technology kommunizieren! 11

12 SLA zum Beispiel Control Objectives The service level agreement should cover at least the following aspects: availability, reliability, performance, capacity for growth, levels of support provided to users, continuity planning, security, minimum acceptable level of satisfactorily delivered system functionality, restrictions (limits on the amount of work), service charges, central print facilities (availability), central print distribution and change procedures. (...) Management Guideline Key Performance Indicators Time lag of resolution of a service level change request Time lag to resolve a service level issue Number of times that root cause analysis of service level procedure and subsequent resolution is completed within required period Significance of amount of additional funding needed to deliver the defined service level (...) Audit Guideline Considering whether recourse process is identified for non-performance Testing that historical performance against prior service improvement commitments is tracked (...) 12

13 13

14 Beispiel aus AI5 Programm Change Management Anzahl Softwarerelease- und Verteilungsmethoden pro Plattform Die Leistungs- Indikatoren enthalten gute Lösungsansätze Anzahl Abweichungen von der Standard- Konfiguration Anzahl Zwischenfall-Korrekturen, für die rückwirkend nicht der normale Prozess des Änderungswesens eingesetzt wurde Zeitspanne zwischen der Verfügbarkeit der Korrektur und ihrer Implementierung Verhältnis zwischen akzeptierten und abgewiesenen Anträgen bei der Durchführung einer Änderung 14

15 Beispiel aus DS6 Notfallplan Anzahl und Umfang von Dienstleistungsunterbrechungen unter Zugrundelegung von Kriterien bezüglich Dauer und Auswirkung Zeitspanne zwischen dem Auftreten einer organisatorischen Änderung und der Aktualisierung der Alternativplanung Benötigte Zeit zur Diagnose eines Zwischenfalls und zur Entscheidung, den Alternativplan auszuführen Benötigte Zeit zur Normalisierung des Dienstleistungsgrads nach der Ausführung des Alternativplans Häufigkeit von Tests im Bereich der Dienstleistungskontinuität 15

16 Die Welt des Outsourcings ist nicht immer rosarot! Ein Beispiel aus unserer Praxis Seit Januar 1996 ist die Firma Serco GmbH für den ganzen IT- Betrieb des USW zuständig. Darunter fallen unter anderem die Beschaffung, die Installation und der Betrieb von Netzwerk- Komponenten, Standard Software und Hardware, sowie die Benutzerunterstützung (Helpdesk). Für die ersten drei Jahre (Jan bis Dez. 1998) hat die Firma Serco Honorare in der Höhe von 5'685'000 DM bekommen. Für eine zusätzliche Summe von 2'086'000 DM ist der Vertrag bis Juli 1999 verlängert worden. Neben diesen sogenannten "horizontalen" Dienstleistungen hat USW mit Serco projektbezogene "verticale" Dienstleistungen bis Januar 1999 für eine Grössenordnung von 7'100'000 DM vereinbart. 16

17 Die Feststellungen der EFK (Wirtschaftlichkeit, Integrität) Der Vollzug der im SLA definierten Aufgaben der Firma Serco muss durch USW periodisch überprüft werden. Die meisten der im SLA definierten Leistungsziele werden, trotz den genauen Mess- Vorgaben, nicht gemessen und sind daher nicht kontrollierbar. Die, die effektiv geprüft wurden, sind meistens nicht erreicht worden. Beispielsweise sind die vorgesehenen Dienstleistungen im Bereich IT- Inventar (Wert von ca. 13 Millionen DM) weder erbracht noch kontrolliert worden. Gemäss OSC- Manager fehlen dafür die notwendigen Ressourcen. 17

18 Die Feststellungen der EFK (Integrität, Vertraulichkeit) Auf der Netzwerk-Ebene haben wir festgestellt, dass 6 Systemadministratoren (alle MA von SERCO) unter der gleichen Benutzer-Identifikation auf der Maschine USW-CORE arbeiten. Auf dieser Maschine werden unter anderem die Zugriffe auf das ADP-Subnetz (subnet 48) verwaltet. Die gemeinsame Benutzung einer Benutzer- Identifikation sowie das Bekanntmachen von Passwörtern verunmöglichen die Zuweisung von Aktivitäten an einzelne Personen. 18

19 Bringt Outsourcing wirklich mehr Professionalität? Der Einsatz der Firewall und der Modems am USW erfolgt ohne genehmigtes Konzept. Die installierte Firewall bietet zum heutigen Zeitpunkt nicht die von Serco vorgesehenen Schutz- Mechanismen an. Eine Erhöhung der Sicherheitsfunktionen der Firewall, welche eine Veränderung der Arbeitsabläufe der USW- Mitarbeiter mit sich bringen würde, kann nur durch eine klar definierte Network Security Policy erreicht werden. Diese Network Policy sollte auch den, heute unkontrollierten, Einsatz von Modems regeln. 19

20 Der (hoffentlich!) lange Weg von der Idee bis zum Vertrag «On n externalise bien que ce que l on connaît bien!» Ist-Analyse durch eine neutrale Stelle Saubere Ausschreibung Bewertung der Angebote, Tests Verhandlungen Vertragsgestaltung 20

21 Nicht zu vergessen bei der Vertragsgestaltung Rücknahme des Bereichs (insourcing) Outsourcing beim Outsourcer Rechte der Revision Transparenz im Personalbereich (Sicherheitskontrolle) 21

22 Neben CobiT, hat die ISACA auch noch ein Paar gute Checklisten anzubieten 22

23 Outsourcing hat auch Konsequenzen für die Revision. Das Thema wird heute nicht behandelt. Siehe dazu den neuen Schweizer Prüfungsstandard PS 402 in der Dokumentation PS 402 Firma Dienstleister 23

24 Weitere Fragen? Tel.: 031/

25 f o k u s IT-Outsourcing und Revision Konsequenzen des IT-Outsourcings für die interne und externe Revision Michel Huissoud, Vize-Direktor Eidgenössische Finanzkontrolle, Bern Das Outsourcen von IT-Leistungen birgt neben kurzfristigen finanziellen Vorteilen auch gewisse Risiken in sich. Der Revisor sollte deshalb bei der Vertragsprüfung oder Risikoanalyse verschiedene heikle Faktoren sorgfältig prüfen und diese mit der Unternehmensleitung frühzeitig diskutieren. Das Outsourcen von Arbeitsabläufen ist für viele Unternehmen zur Alltäglichkeit geworden. Die damit verbundenen kurzfristigen finanziellen Vorteile sind jedoch gelegentlich mit Risiken behaftet, die jeder pflichtbewusste Revisor sorgfältig prüfen und frühzeitig mit der Unternehmensleitung diskutieren muss. 1. Auswirkungen auf die Unternehmung Das Outsourcing hat spürbare Auswirkungen auf die gesamte Unternehmung. Für den Revisor kann es entscheidend sein, sich die nachfolgend genannten Faktoren gut zu merken, da sie potenzielle neue Risiken darstellen, die er bei der Vertragsprüfung oder Risikoanalyse berücksichtigen sollte Grössere Abhängigkeit Das Outsourcing dürfte im Allgemeinen die Abhängigkeit einer Unternehmung erhöhen vor allem dann, wenn im ausgelagerten Bereich kein konkurrenzfähiger Markt existiert. Nach einigen Monaten besteht die Gefahr, dass der Dienstleister seine Monopolstellung auszunützen versucht. Für die Unternehmung wird es dann zunehmend schwierig, den ausgelagerten Prozess betriebsintern wieder aufzubauen Gefahr der mangelnden Kontinuität im Strategiemanagement Obwohl sich die Unternehmensstrategie grundsätzlich auf die zentralen Prozesse konzentriert, können Support und Logistik eine wichtige Rolle spielen. Eine Methode vom Typ Balanced Score Card (BSC) sollte beispielsweise das gesamte Personal, das für die Erreichung der strategischen Ziele eingesetzt wird, mit einschliessen. In der Praxis wird man in den Outsourcing-Verträgen aber wohl eher selten Verfahren antreffen, die den Einbezug der Unternehmensstrategie in die Strategie des Dienstleisters garantieren. Dieselben Probleme stellen sich auch bei der ISO 9000-Zertifizierung. Die vom Dienstleister übernommenen Prozesse müssen auf die eine oder andere Weise in die Zertifizierung der Unternehmung integriert werden. Diese Situation geht oft mit einem Mangel an Transparenz einher. Die Unternehmung erfährt nur teilweise oder zu spät von den Problemen des Dienstleisters, von den Entscheidungen und Prioritäten seines Verwaltungsrats oder von finanziellen Schwierigkeiten, mit denen der Dienstleister zu kämpfen hat. Die gerichtlich angeordnete Beschlagnahme im Rahmen einer Betreibung des Fahrzeugparks kann jedoch die ganze Unternehmenstätigkeit des Dienstleisters und letztlich auch der Unternehmung selber lahmlegen Keine Interessenübereinstimmung Manchmal befindet sich der Dienstleister im Besitz der Unternehmung (Beispiel Rechenzentrum der schweizerischen Kantonalbanken). Unter der Voraussetzung, dass alle Beteiligten die gleichen Interessen verfolgen, kann ein solches Gebilde das neue Risiko möglicherweise ausschliessen. In allen anderen Fällen wird sich die Frage stellen, ob ein Dienstleister, der seine eigenen Interessen gefährdet sieht, wirklich bereit sein d i g m a

26 wird, den Verpflichtungen gegenüber Dritten den Vorrang zu geben. Es kommt oft vor, dass ein Dienstleister für mehrere Konkurrenzfirmen derselben Branche arbeitet oder später von einem neuen Unternehmen geschluckt wird. In allen diesen Fällen stellt sich die Frage nach der Treuepflicht und dem Konkurrenzverbot Wegfall der hierarchischen Unterstellung Es gilt als überholt, überhaupt noch von Hierarchien zu sprechen. Wir stellen jedoch fest, dass jede ernsthafte Analyse der internen Kontrollsysteme die Personalanstellungs- und Qualifikationsverfahren mit einschliessen muss, dass Probleme im Privatbereich schwerwiegende Folgen auf das Berufsleben haben können und dass es sehr wichtig ist, im Betrugsfall schnell zu reagieren. Ausserdem sollten für das Personal des Dienstleisters, das die Daten der Unternehmung verarbeitet oder sich in deren Betriebsräumen aufhält, unbedingt dieselben Bedingungen und Einschränkungen wie für das eigene Personal gelten. Das Fehlen einer hierarchischen Unterstellung des Dienstleisterpersonals stellt ein schwerwiegendes Problem dar, das teilweise dadurch gelöst werden kann, dass dem betriebsinternen Kaderpersonal ausdrücklich die Verantwortung für die Beaufsichtigung des Dienstleisterpersonals übertragen wird. Bei dieser Gelegenheit werden jedoch viele Kaderangestellte feststellen, dass im Zuge des Outsourcings zwar viele untergeordnete Stellen frei werden, dafür eher selten solche in höheren Positionen Wissensmanagement: Verlust von qualifiziertem Personal Viele Unternehmungen sind täglich mit dem Problem des zunehmend schnellen technologischen Wandels sowie mit der Schwierigkeit konfrontiert, qualifiziertes Personal rekrutieren und anschliessend auch an sich binden zu können. In dieser Hinsicht wird in vielen Betrieben ein grundlegender Fehler begangen: der analysierte Prozess wird für einen Supportprozess gehalten (zum Beispiel: Entwicklung einer E- Commerce-Applikation) und man möchte sich via Outsourcing von ihm trennen. Dieser Ansatz verschafft zwar kurzfristig eine Lösung der betrieblichen Probleme, birgt jedoch auch das Risiko in sich, einige Monate später den Verlust des Know how feststellen zu müssen, das sich für die Unternehmung Schliesslich enthebt das Outsourcing eines bestimmten Geschäftsbereichs die Unternehmung nicht von der Aufgabe, diesen Bereich sehr gut zu kennen, sei es auch nur, um die Leistungen des Dienstleisters kontrollieren zu können. nachträglich für einen bestimmten Prozess doch noch als zentral erweist. Die für das Wissensmanagement zuständige Person wird sich aber auch fragen müssen, ob die kreativen Kräfte der Unternehmung die Schöpfer von neuem Wissen die den technologischen Fortschritt von morgen sichern, nicht aus eben diesen Spitzentechnologie-Bereichen stammen, die allzu leichtfertig mitsamt dem dazugehörigen Personal ausgelagert werden. Schliesslich enthebt das Outsourcing eines bestimmten Geschäftsbereichs die Unternehmung nicht von der Aufgabe, diesen Bereich sehr gut zu kennen, sei es auch nur, um die Leistungen des Dienstleisters kontrollieren zu können. Unter Umständen ist es aber auch möglich, sogar diese Aufgabe auszulagern, indem sie zum Beispiel an einen zweiten Dienstleister vergeben wird Schwindende Motivation des Personals Es kommt ziemlich häufig vor, dass das einem bestimmten Prozess zugeordnete Personal entlassen und anschliessend vom Dienstleister übernommen wird. Ein solches Vorgehen kann jedoch das Arbeitsklima beeinträchtigen und die Loyalität des Personals gegenüber dem Betrieb, in welchem es im Namen des Dienstleisters mitarbeiten soll, untergraben. 2. Externe Prüfung 2.1. Der GZA 18 und die Revisionsnorm ISA 402 Die IFAC (International Federation of Accountants, vgl. hat eine internationale Revisionsnorm aufgestellt (ISA 402) welche kürzlich in den Grundsatz zur Abschlussprüfung (GZA 18) «Outsourcing-Verhältnis» der schweizerischen Treuhand-Kammer übernommen worden ist. Der Prüfer muss die Auswirkungen der erbrachten Dienstleistungen auf die Buchhaltungs- und die internen Kontrollsysteme des Kunden bewerten, damit die Revision vorbe- d i g m a

27 f o k u s reitet und ein effizienter Prüfungsansatz gewählt werden kann. Es gibt dabei keine festen Regeln, nach denen die Relevanz eines Prozesses bestimmt werden kann. Den Betrieb des internen Informatiknetzes einer Bank oder einer Erdölgesellschaft auszulagern hat sicher nicht die gleiche Bedeutung. Wenn der Prüfer zum Schluss kommt, dass die ausgelagerten Geschäftsbereiche für die Unternehmung signifikant sind und sich demzufolge auf die Revision auswirken, muss er genügend Informationen zusammentragen, um das Buchhaltungs- und interne Kontrollsystem zu verstehen. Erachtet es der Prüfer für notwendig, die Wirksamkeit der internen Kontrollsysteme zu Es kommt ziemlich häufig vor, dass das einem bestimmten Prozess zugeordnete Personal entlassen und anschliessend vom Dienstleister übernommen wird. überprüfen, hat er drei Möglichkeiten: Er kann die Kontrollen prüfen, denen die Unternehmung die Aktivitäten des Dienstleisters unterzieht. Er kann vom Revisor des Dienstleisters einen Bericht über die Wirksamkeit der Buchhaltungs- und der internen Kontrollsysteme sowie über die Behandlung der Applikationen, die im Rahmen der Revision untersucht werden, verlangen. Er kann schliesslich beim Dienstleister Einhalteprüfungen durchführen. Diese zwei Normen weisen leider eine Lücke auf: im Outsourcingbereich ist die Prüfung der Fähigkeit der Unternehmung zur Weiterführung ihrer Geschäftstätigkeit vergessen gegangen trotz der nicht unerheblichen Risiken, denen sie mit dem Outsourcing ausgesetzt wird. Ein Verweis auf den GZA 13 «Fortführung der Unternehmenstätigkeit» (bzw. ISA 570 «Going concern») wäre sicher angebracht gewesen. 3. Interne Prüfung 3.1. Zielsetzungen und Normen Die Rolle der internen Revision ist schwergewichtig anders gelagert, weil sie auch die Überprüfung der Umsetzung der Gesamtstrategie der Unternehmensleitung (sogenannte Governance) erfasst. Wird auf das von der ISACA vorgeschlagene COBIT-Modell Bezug genommen, schliesst der Prüfauftrag des internen Revisors alle Kriterien mit ein, das heisst: Wirksamkeit (effectiveness), Wirtschaftlichkeit (efficiency), Vertraulichkeit (confidentiality), Integrität (integrity), Verfügbarkeit (availability), Einhaltung rechtlicher Erfordernisse (compliance) und Zuverlässigkeit (reliability). Die IIA (The Institute of Internal Auditors) hat selber keine Norm aufgestellt, die der ISA 402-Norm der IFAC entsprechen und diese in den spezifischen Bereichen der internen Revision ergänzen würde Am Outsourcing-Entscheid mitwirken Der interne Revisor muss insbesondere dafür sorgen, dass: die Prozesse, deren Auslagerung vorgesehen ist, für die Unternehmung nicht von strategischer Bedeutung sind, die Unternehmung das Wissen besitzt, das für die Auswahl und anschliessend für die Kontrolle des Dienstleisters notwendig ist, ein vollständiges Pflichtenheft erstellt wird, bevor die Suche nach einem geeigneten Dienstleister eröffnet wird, die Unternehmung im Auswahlverfahren des Dienstleisters von optimalen Verhandlungsbedingungen profitieren kann, insbesondere in wichtigen Fällen vor Abschluss des Outsourcing-Vertrags eine Prüfung beim Dienstleister durchge-führt wird, der Vertragsentwurf vor seiner Unterzeichnung den internen Revisoren zur Begutachtung und Stellungnahme vorgelegt wird Aushandeln des Outsourcing-Vertrags Stellung des Revisors Nebst den bereits angesprochenen Punkten muss der interne Revisor insbesondere Folgendes beachten. Die Erwähnung der Revisionsrechte im Outsourcing-Vertrag ist äusserst wichtig. Es liegt im ureigensten Interesse des Revisors, auch die Interessen der externen Revisoren zu verteidigen. Die Erfahrung zeigt, dass es sehr wichtig ist, den Dienstleister dazu zu zwingen, den Revisoren während der für die Revisionsarbeiten notwendigen Dauer das erforderliche qualifizierte Personal für Fragebeantwortung zur Verfügung zu stellen, und zwar ohne diese Leistungen zu fakturieren. Ausserdem sollte vertraglich festgelegt werden, dass die Empfehlungen des Revisors möglichst rasch umzusetzen sind, ohne dass daraus zusätzliche Kosten erwachsen d i g m a

28 Es ist verständlich, dass ein Dienstleister, der sein Produkt gleichzeitig mehreren Dutzend Unternehmungen verkauft, es vermeiden möchte, einzeln mit den Revisoren all dieser Kunden verhandeln zu müssen. Er wird im Allgemeinen seinen eigenen Revisor damit beauftragen und ihn bitten, die Ergebnisse dieser Arbeiten den Prüfern seiner Kunden mitzuteilen. Eine solche Lösung sollte jedoch nur akzeptiert werden, wenn der betriebseigene Revisor das Arbeitsprogramm des Dienstleister-Revisors bestimmen und in dessen Berichte Einsicht nehmen darf Weitere wichtige Punkte Ob ein Outsourcing-Vertrag korrekt erfüllt wurde, kann nur dann überprüft werden, wenn zuvor messbare Ziele festgelegt worden sind. Im Informatikbereich zählt die Version 3 von COBIT für jeden Prozess und für jedes Kontrollziel eine Liste von Erfolgsfaktoren und entsprechenden Indikatoren auf. Für das Überleben der Unternehmung kann es sehr wichtig sein, dass die Möglichkeit der Auflösung des Outsourcing-Vertrags besteht, und zwar nicht nur juristisch, sondern auch technisch. In der Praxis kann das heissen, dass die elektronisch verarbeiteten Daten der Unternehmung bei einem Dritten in einem Standardformat, das ihr bekannt ist, aufbewahrt werden. 4. Schlussfolgerungen Wenn eine Unternehmung von den Möglichkeiten des Outsourcings Gebrauch macht, liefert sie den Beweis ihrer Eigeninitiative. Sie verdient es, dass ihre Revisoren sie auf dem eingeschlagenen Weg unterstützen. Die Revisoren ihrerseits sind gut beraten, das Vorhaben ernst zu nehmen und sich ihm mit ihrer ganzen Energie zu widmen, um seinen Erfolg zu garantieren. K u r z u n d b ü n d i g 3.4. Prüfung des Outsourcings Insbesondere in den ersten Monaten geht es vor allem darum zu überprüfen, ob die im Outsourcing-Vertrag festgelegten Ziele wirklich gemessen und die vorgesehenen Werte erreicht worden sind. Anschliessend empfiehlt es sich zu kontrollieren, ob die ausgelagerten Prozesse in der Zwischenzeit eine strategische Bedeutung erlangt haben, die es rechtfertigen würde, sie wieder in die Unternehmung zu integrieren; es empfiehlt sich ausserdem, die Leistungen des Dienstleisters zu bewerten, wobei es nicht nur darum geht, für ein angemessenes Kosten/Nutzenverhältnis zu sorgen, sondern auch zu prüfen, ob das technologische Wissen des Dienstleisters es der Unternehmung erlaubt, das Niveau der Konkurrenz zu erreichen oder zu halten. Neben kurzfristigen finanziellen Vorteilen bringt das Outsourcen auch gewisse Risiken mit sich. Der Revisor sollte deshalb bei der Vertragsprüfung oder Risikoanalyse einige Faktoren sorgfältig prüfen und diese mit der Unternehmensleitung frühzeitig ausdiskutieren. Outsourcing hat für Unternehmungen im Allgemeinen erhöhte Abhängigkeit zur Folge oder kann eine Gefahr für die Kontinuität des Strategiemanagements darstellen. Ein weiterer Risikofaktor kann die fehlende Interessenübereinstimmung sein zumal dann, wenn zugleich auch Interessen des Dientsleisters betroffen sind. Als Folge des Wegfalls der hierarchischen Unterstellung kann dem betriebsinternen Kader die Verantwortung für die Beaufsichtigung des Personals des Dienstleisters übertragen werden, für welches im Übrigen dieselben Bedingungen und Einschränkungen wie für das eigene Personal gelten sollten. Outsourcing kann aber auch den Verlust von Know how nach sich ziehen, wenn jene Bereiche ausgelagert werden, die den technologischen Fortschritt von morgen sichern. Zu beachten ist schliesslich, dass eine korrekte Erfüllung des Outsourcing-Vertrages nur dann überprüft werden kann, wenn messbare Ziele festgelegt wurden. Denn in den ersten Monaten wird vor allem zu überprüfen sein, ob die im Outsourcing-Vertrag festgelegten Ziele wirklich gemessen und die vorgesehenen Werte erreicht worden sind. d i g m a

29 PS 402 Dienstleistungsorganisationen Auswirkung auf die Abschlussprüfung Schweizer Prüfungsstandard: Unternehmen, die Dienstleistungsorganisationen in Anspruch nehmen Auswirkung auf die Abschlussprüfung (PS 402) "Einstiegshilfe" Ziffer Dieser PS gibt Anleitungen für einen Prüfer, dessen Kunde eine Dienstleistungsorganisation in Anspruch nimmt. Der Prüfer muss in Betracht ziehen, wie die Inanspruchnahme der Dienstleistungsorganisation das Rechnungswesen-System und die interne Kontrolle des Kunden beeinflusst. 1-3 PS 400 Überlegungen des Abschlussprüfers Dienstleistungsorganisationen können eigenverantwortlich Transaktionen ausführen oder nur Transaktionen aufzeichnen und Daten verarbeiten. Der Prüfer muss feststellen, wie wesentlich die Aktivitäten von Dienstleistungsorganisationen für den Kunden und wie relevant sie für die Abschlussprüfung sind. (Liste von Aspekten für diese Beurteilung in Ziffer 5). Kommt der Prüfer bei dieser Beurteilung zum Schluss, dass die Einschätzung des Kontrollrisikos nicht von den Kontrollen der Dienstleistungsorganisation abhängt, erübrigt sich die Anwendung dieses PS. Kommt der Prüfer hingegen zum Schluss, dass die Aktivitäten der Dienstleistungsorganisation für den Kunden wesentlich und für die Abschlussprüfung relevant sind, so muss er hinreichende Informationen erlangen, um das Rechnungswesen-System und die interne Kontrolle zu verstehen und um das Kontrollrisiko entweder als maximal oder im Anschluss an verfahrensorientierte Prüfungshandlungen als geringer einzuschätzen. 4, 5 7 Die Erlangung dieser Informationen ist auf folgenden Wegen möglich: Der Bericht des Prüfers der Dienstleistungsorganisation (fortan: "anderer Prüfer") gibt hinreichende Informationen. Der andere Prüfer wird beauftragt, bestimmte Prüfungshandlungen vorzunehmen. Der Prüfer beschafft sich die Informationen bei der Dienstleistungsorganisation selbst

30 PS 402 Dienstleistungsorganisationen Auswirkung auf die Abschlussprüfung Berichte des anderen Wirtschaftsprüfers Verwendet der Prüfer einen Bericht des anderen Prüfers, muss er Art und Inhalt dieses Berichts würdigen. Je nach Art und Umfang des Berichtes des anderen Prüfers (Beispiele in Ziffer 12) wird der Nutzen für die Erlangung des gebotenen Verständnisses von Rechnungswesen-System und interner Kontrolle der Dienstleistungsorganisation unterschiedlich sein. Damit sind auch die Prüfungsnachweise und letztlich Einschätzung des Kontrollrisikos je nach Bericht des anderen Prüfers unterschiedlich. Der andere Prüfer kann mit bestimmten Prüfungshandlungen beauftragt sein, deren Ergebnisse der Prüfer verwenden kann. Solche Prüfungshandlungen kann der Prüfer und der Kunde mit der Dienstleistungsorganisation und dem anderen Prüfer vereinbart haben. Verwendet der Prüfer einen Bericht des anderen Prüfers, nimmt er üblicherweise in seinem Bericht keinen Bezug auf den Bericht des anderen Prüfers

31 PS 402 Dienstleistungsorganisationen Auswirkung auf die Abschlussprüfung Schweizer Prüfungsstandard: Unternehmen, die Dienstleistungsorganisationen in Anspruch nehmen Auswirkung auf die Abschlussprüfung (PS 402) Einleitung Überlegungen des Abschlussprüfers Berichte des anderen Wirtschaftsprüfers Der vorliegende Schweizer Prüfungsstandard (PS) wurde vom Vorstand der Treuhand-Kammer am 11. Juni 2004 verabschiedet. Er setzt ISA 402 Audit Considerations Relating to Entities Using Service Organizations um. Er gilt für Prüfungen von Abschlüssen für Perioden, die am 1. Januar 2005 oder danach beginnen. Er ist im Zusammenhang mit der Einleitung zu den Schweizer Prüfungsstandards (PS) zu verstehen, welche den Anwendungsbereich und die Verbindlichkeit der PS darlegt. Einleitung 1 Zweck dieses PS ist die Aufstellung von Grundsätzen und Erläuterungen zuhanden eines Abschlussprüfers, dessen Kunde eine Dienstleistungsorganisation (Ziffer 3) in Anspruch nimmt (im Folgenden: "Abschlussprüfer"). Der PS enthält auch Überlegungen zur Berichterstattung des Abschlussprüfers oder beauftragten Wirtschaftsprüfers der Dienstleistungsorganisation (im Folgenden: "anderer Wirtschaftsprüfer"). 2 Zum Zwecke der Planung und Entwicklung eines wirkungsvollen Prüfungsansatzes muss der Abschlussprüfer in Betracht ziehen, wie die Inanspruchnahme der Dienstleistungsorganisation das Rechnungswesen-System und die interne Kontrolle des Kunden (s. PS 400 Risikobeurteilung und interne Kontrolle) beeinflusst. 237

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

(Un)mögliche Prüfung von Outsourcing

(Un)mögliche Prüfung von Outsourcing (Un)mögliche Prüfung von Outsourcing Michel Huissoud lic. iur, CISA, CIA zugelassener Revisionsexperte RAB Vizedirektor, Eidgenössische Finanzkontrolle, www.efk.admin.ch Mitglied des Fachstabs für Informatik

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you.

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you. Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002 Manfred Scholz, CISA Manfred.Scholz@sec4you.com Internet Banking aus der Sicht eines Prüfers Anforderungen

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Continuous Auditing eine gut gemeinte aber schlechte Idee kommt zurück

Continuous Auditing eine gut gemeinte aber schlechte Idee kommt zurück Continuous Auditing eine gut gemeinte aber schlechte Idee kommt zurück Michel Huissoud Lic.iur, CISA, CIA 5. November 2012 - ISACA/SVIR-Fachtagung - Zürich Überwachung Continuous Monitoring Continuous

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Zusammenarbeit der Bundesverwaltung mit Nichtregierungsorganisationen

Zusammenarbeit der Bundesverwaltung mit Nichtregierungsorganisationen Zusammenarbeit der Bundesverwaltung mit Nichtregierungsorganisationen Bericht der Geschäftsprüfungskommission des Ständerates vom 21. August 2009 Sehr geehrter Herr Bundespräsident, Sehr geehrte Damen

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Rahmenkonzept zu Auftragsarten

Rahmenkonzept zu Auftragsarten Stellungnahme des Fachsenats für Unternehmensrecht und Revision der Kammer der Wirtschaftstreuhänder Rahmenkonzept zu Auftragsarten (beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Fall 4: Standard Software falsch behandelt

Fall 4: Standard Software falsch behandelt Fall 4: Standard Software falsch behandelt Bernhard Hamberger Partner Ernst & Young, Bern 4: Standard-Software falsch behandelt Fehlende Prüfungshandlungen im Bereich ERP-Systeme Das Unternehmen hat ein

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

AUSLAGERUNG VON RUN-OFF-PROZESSEN Sicherheit durch den Prüfungsstandard ISAE 3402

AUSLAGERUNG VON RUN-OFF-PROZESSEN Sicherheit durch den Prüfungsstandard ISAE 3402 AUSLAGERUNG VON RUN-OFF-PROZESSEN Sicherheit durch den Prüfungsstandard ISAE 3402 Philippe Aeschi Zürich, 28. März 2014 www.mazars.ch 1 Titre de la présentation EINLEITUNG Beauftragen Sie Dienstleistungen

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Internes Kontrollsystem (IKS)

Internes Kontrollsystem (IKS) Internes Kontrollsystem (IKS) Unter dem Begriff des Internen Kontrollsystems werden allgemein Vorgänge und Massnahmen einer Unternehmung zusammengefasst, welche in Prozesse eingreifen, um deren korrekten

Mehr

26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen

26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen 1 26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen Wie immer: Eine sehr persönliche Zusammen-fassung des Tages (unvollständig, mit Beispielen) Was ich gehört und verstanden

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

S-ITIL: IT-Infrastructure Library

S-ITIL: IT-Infrastructure Library S-ITIL: IT-Infrastructure Library ITIL bietet eine exzellente Basis zur Ausrichtung der IT an den Geschäftsanforderungen und Kunden sowie für einen effizienten und qualitativ hochwertigen IT-Betrieb. ITIL

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

Anforderungen an Energie- Managementsysteme nach ISO 50001. Schweizerische Vereinigung für Qualitäts- und Management- Systeme (SQS)

Anforderungen an Energie- Managementsysteme nach ISO 50001. Schweizerische Vereinigung für Qualitäts- und Management- Systeme (SQS) Anforderungen an Energie- Managementsysteme nach ISO 50001 Schweizerische Vereinigung für Qualitäts- und Management- Systeme (SQS) ISO 50001 4.1 Allgemeine Anforderungen Das Energiemanagementsystem (EnMS)

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

-Dokumentation. Zentrum für Informatik ZFI AG. MCTS Windows Server 2008 (MUPG)

-Dokumentation. Zentrum für Informatik ZFI AG. MCTS Windows Server 2008 (MUPG) Zentrum für Informatik - MCTS Windows Server 2008 (MUPG) - Java Ausb... 1/6 -Dokumentation Zentrum für Informatik ZFI AG MCTS Windows Server 2008 (MUPG) http://www.zfj.ch/mupg Weitere Infos finden Sie

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis

Inhaltsverzeichnis. Inhaltsverzeichnis 1 Qualitätssichernde Prozesse 1 1.1 Was war die alte ISO 9000:1994?... 3 1.2 ISO 9000:2000... 4 1.3 ITIL und ISO 9000: 2000... 10 1.4 Six Sigma (6)... 12 1.4.1 Fachbegriffe unter Six Sigma... 17 1.4.2

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

WOTAN-GRC-Monitor. Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln)

WOTAN-GRC-Monitor. Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln) Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln) WOTAN-GRC-Monitor Das Risiko eines Unternehmens ist zu einem beträchtlichen Teil von

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance Seite 1 Inhaltsçbersicht 01 IT-Governance Strategische Unternehmensziele durch IT-Compliance optimal unterstçtzen 01200 IT Governance und IT Compliance die wichtigsten GW Normen und Regelwerke 01250 COBIT

Mehr

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg sverzeichnis Christian Wischki ITIL V2, ITIL V3 und ISO/IEC 20000 Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg ISBN: 978-3-446-41977-3 Weitere Informationen oder Bestellungen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch ATEGRA Domino Security Audits Ausgangslage Ihre Organisation hat Sicherheitsbedürfnisse Sie führen evtl. bereits periodische Security Audits durch Oft wird der Teil Lotus Domino technisch ausgelassen ATEGRA

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Sourcing Modell Phase 4

Sourcing Modell Phase 4 Sourcing Modell Phase 4 Ausgabe vom: 1.3.2013 Dok.Nr.: SwissICT FG Sourcing & Cloud 4 Phasen Modell Phase 4 Verteiler: Allgemeines: Status in Arbeit in Prüfung genehmigt zur Nutzung X Name Alex Oesch Matthias

Mehr

SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht -

SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht - SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht - Christina Dreller Christina.Dreller@stuttgarter-volksbank.de Übersicht I. Theoretische Grundlagen II. ITIL bei der Stuttgarter Volksbank

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012 Empfehlungen von ITIL zu ITSM Einführung Jacqueline Batt, 12. Juni 2012 Wo ist das WIE in ITIL?! Service Strategy! Service Design! Service Transition! Service Operation! C. Service Improvement Kapitel

Mehr

Risikomanagement zahlt sich aus

Risikomanagement zahlt sich aus Risikomanagement zahlt sich aus Thurgauer Technologieforum Risikobeurteilung - Was bedeutet das für meinen Betrieb? Tägerwilen, 19.11.2008 1 Ausgangslage (1) Jede verantwortungsbewusste Unternehmensleitung

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Was Sie vom Provider (auch) verlangen sollten

Was Sie vom Provider (auch) verlangen sollten 25.1.2005 Rechtliche Vorgaben beim Outsourcing von Bank-IT: Was Sie vom Provider (auch) verlangen sollten David Rosenthal Die «üblichen» Vorgaben - Übergang von Arbeitsverhältnissen bei Betriebsübergang

Mehr

Herzlich willkommen. ACP Gruppe Österreich & Deutschland. 2007 ACP Gruppe

Herzlich willkommen. ACP Gruppe Österreich & Deutschland. 2007 ACP Gruppe Herzlich willkommen ACP Gruppe Österreich & Deutschland Präsentation am 27.02.2008 Conect Informunity Optimieren der Infrastruktur Markus Hendrich ACP Business Solutions/Geschäftsführer Agenda ACP als

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

etom enhanced Telecom Operations Map

etom enhanced Telecom Operations Map etom enhanced Telecom Operations Map Eigentümer: Telemanagement-Forum Adressaten: Telekommunikationsunternehmen Ziel: Industrieeigenes Prozessrahmenwerk Verfügbarkeit: gegen Bezahlung, neueste Version

Mehr

Vision: ITIL für den Mi1elstand. Dr. Michael Rietz

Vision: ITIL für den Mi1elstand. Dr. Michael Rietz Vision: ITIL für den Mi1elstand Dr. Michael Rietz Bringt ITIL etwas für den Mi1elstand? Gibt es einen Beitrag zu Umsatz? Rentabilität? Neukundengewinnung? Kundenbindung? Mitarbeiterzufriedenheit?... 14.11.12

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Audit Approach Prüfung von Forderungen aus Lieferungen und Leistungen

Audit Approach Prüfung von Forderungen aus Lieferungen und Leistungen www.pwc.com Prüfung von Forderungen aus Lieferungen und Leistungen WP StB Benjamin Röhe Agenda I. Einordnung in den Prozess der Jahresabschlussprüfung II. Risikoorientierter Prüfungsansatz / Prüfungsstrategie

Mehr

Grüezi Mein Name ist Susanne Bandi und ich begrüsse Sie herzlich zum Kurzreferat: So richten Sie ihr Configuration Management auf die Zukunft aus!

Grüezi Mein Name ist Susanne Bandi und ich begrüsse Sie herzlich zum Kurzreferat: So richten Sie ihr Configuration Management auf die Zukunft aus! Grüezi Mein Name ist Susanne Bandi und ich begrüsse Sie herzlich zum Kurzreferat: So richten Sie ihr Configuration Management auf die Zukunft aus! SIE sind hier, weil sie Potential sehen für ihr Configuration

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung ISACA / SVI - IT-isikoanalyse IT-isikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung Peter Steuri Certified Information Systems Auditor dipl. Wirtschaftsinformatiker BDO

Mehr

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein!

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein! IT Ri ik IT-Risikomanagement: t Ballast B ll t oder d Wertschöpfung? W t hö f? IT-Risikomanagement.verursacht nur Kosten und bringt nichts ein!.macht sowieso niemand!.prüft ja sowieso keiner!.stresst nur

Mehr

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012

Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012 Outgesourcter Applikationsbetrieb nach ISO/IEC 20000 beim Rechenzentrumsdienstleister Joachim Astel 17.10.2012 datacenter.de ist eine Marke der noris network AG Was ist die ISO/IEC 20000 International

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit abs Fondsplattform schafft Informationssicherheit Die Sicherheit sensitiver Daten gehört zu den grundlegenden Anforderungen

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System 7. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2011 DI Markus Hefler, BSc, Florian Hausleitner 1 Agenda 1. Kurze Vorstellung

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

IT Governance Michael Schirmbrand 2004 KPMG Information Risk Management

IT Governance Michael Schirmbrand 2004 KPMG Information Risk Management IT Governance Agenda IT Governance Ausgangslage Corporate Governance IT Governance Das IT Governance Framework CobiT Die wichtigsten Standards Integration der Modelle in ein gesamthaftes Modell -2- Ausgangslage

Mehr

Oliver Lehrbach Vertriebsleiter Mobil: 0172-511 18 08

Oliver Lehrbach Vertriebsleiter Mobil: 0172-511 18 08 Oliver Lehrbach Vertriebsleiter Mobil: 0172-511 18 08 S.O.L. Office Bürotechnik Industriestrasse 1 50259 Pulheim Tel. 02238-968 40 40 Fax 02238-968 40 60 oliverlehrbach@soloffice.de info@soloffice.de www.soloffice.de

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Schweizer Verordnung über Bedarfsgegenstände in Kontakt mit Lebensmitteln (SR 817.023.21) Zugelassene Stoffe für Verpackungstinten

Schweizer Verordnung über Bedarfsgegenstände in Kontakt mit Lebensmitteln (SR 817.023.21) Zugelassene Stoffe für Verpackungstinten Schweizer Verordnung über Bedarfsgegenstände in Kontakt mit Lebensmitteln (SR 817.023.21) Zugelassene Stoffe für Verpackungstinten Fragen und Antworten Seite 1 von 6 Das Eidgenössische Department des Innern

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr