Best-Practice-Leitfadenreihe zur Einführung der SAP BusinessObjects GRC-Lösungen

Größe: px
Ab Seite anzeigen:

Download "Best-Practice-Leitfadenreihe zur Einführung der SAP BusinessObjects GRC-Lösungen"

Transkript

1 Best-Practice-Leitfadenreihe zur Einführung der SAP BusinessObjects GRC-Lösungen Deutschsprachige SAP-Anwendergruppe e.v. DSAG-ARBEITSGRUPPE GOVERNANCE, RISK MANAGEMENT UND COMPLIANCE TEIL 2: SAP BUSINESS OBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011

2 SAP BusinessObjects Risk Management BEST-PRACTICE-LEITFADENREIHE ZUR EINFÜHRUNG DER SAP BUSINESS- OBJECTS GRC-LÖSUNGEN TEIL 2, STAND 15. AUGUST 2011 DSAG e. V. Deutschsprachige SAP-Anwendergruppe Seite 2

3 1 Einleitung Der Best-Practice-Leitfaden SAP BusinessObjects Risk Management setzt die DSAG-Leitfadenreihe zur SAP BusinessObjects GRC Suite fort mit dem Ziel, Empfehlungen zu Einführung und Betrieb von SAP BusinessObjects Risk Management 10.0 zu geben. Die Best-Practice-Empfehlungen erheben keinen Anspruch auf Vollständigkeit, sondern geben die Projektund Praxiserfahrung der Autoren wieder, die Mitglieder der DSAG-Arbeitsgruppe Governance, Risk Management, Compliance (GRC) innerhalb des Arbeitskreises Revision und Risikomanagement sind. Insofern ist das Autorenteam auch dankbar für jede Art von Anregungen und Hinweisen zur weiteren Vervollständigung und Verbesserung des Leitfadens. Dieser Leitfaden soll insbesondere den Unternehmen eine Hilfestellung bieten, die sich mit verschiedensten Anforderungen gesetzlicher, fachlicher und organisatorischer Art bei der Gestaltung ihres Risikomanagementsystems konfrontiert sehen. Hinzuweisen ist hier insbesondere auf die Anforderungen des Bilanzrechtsmodernisierungsgesetzes (BilMoG) mit der Gestaltung und Überwachung von internen Kontroll- und Risikomanagementsystemen sowie generell auf Anforderungen eines modernen Compliance-Managements bei der Sicherstellung von wirksamen Kontrollen zur Risikoerkennung und -minimierung innerhalb der Unternehmensorganisation. Die Autoren sind Mitglieder der Arbeitsgruppe Governance, Risk Management & Compliance (GRC) innerhalb des DSAG-Arbeitskreises Revision und Risikomanagement. Die Verantwortung für den Inhalt tragen die Autoren. Die redaktionelle Bearbeitung und das Layout liegen bei der DSAG. COPYRIGHT 2011 DER AUTOREN: Herr Oliver Derksen SAP Deutschland AG & Co. KG Herr Siegfried Filla PricewaterhouseCoopers AG Herr Marko Hamel SAP AG Herr Dr. Gero Mäder SAP AG Hinweis: Die vorliegende Publikation ist urheberrechtlich geschützt (Copyright). Alle Rechte liegen soweit nicht ausdrücklich anders gekennzeichnet bei: DEUTSCHSPRACHIGE SAP ANWENDERGRUPPE E. V. Altrottstraße 34a Walldorf Deutschland Jede Verwertung außerhalb der engen Grenzen des Urheberrechts ist ohne Zustimmung der Urheber unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen / digitalen Medien. Die Autoren des vorliegenden Best-Practice-Leitfadens sind für Verbesserungs- sowie Änderungs- und Ergänzungswünsche dankbar. Dies gilt sowohl für Vorschläge zur Vertiefung der einzelnen Kapitel als auch für die Nennung von Beispielen aus konkreten Projekt- oder Prüfungserfahrungen. Nutzen Sie hierzu bitte das entsprechende Forum der AG GRC im DSAGNet unter INFO/Service Foren AG Governance, Risk Management, Compliance. Seite 3

4 Inhaltsverzeichnis 1 EINLEITUNG 3 2 ÜBERBLICK 6 3 REGULATORISCHE ANFORDERUNGEN Deutscher Corporate Governance Kodex (DCGK) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) IDW RS FAIT IDW RS FAIT IDW RS FAIT IDW Prüfungsstandard PS 261 (u.a. internes Kontrollsystem) IDW PS IDW PS IDW PS IDW PS Bundesdatenschutzgesetz (BDSG) Bilanzrechtsmodernisierungsgesetz (BilMoG) Lagebericht ( 289, 315 HGB n.f.) Pflichten des Aufsichtsrates Handlungsfelder für den Vorstand Basel II Basel III Mindestanforderungen an Compliance MaComp Mindestanforderungen an das Risikomanagement MaRisk Markets in Financial Instruments Directive MiFiD Solvabilitätsverordnung SolvV Solvency II Sarbanes-Oxley Act (SOX) Normen (DIN ISO / IEC) ISO / IEC ISO (vorher ISO 17799) ISO Weitere Standards der Reihe ISO 2700x Zertifizierung nach ISO auf Basis von IT-Grundschutz Risikomanagement nach ISO ZIELMARKT Mittelstand Großunternehmen / Konzerne 25 5 MOTIVATION FÜR IT-GESTÜTZTES RISIKOMANAGEMENT 26 6 RAHMENBEDINGUNGEN / ERFOLGSFAKTOREN Organisatorischer Rahmen RMS / IKS-Methodik Risiko-Governance- und Risikostrategie GRC-Organisation 30 7 UMSETZUNG DES RISIKOMANAGEMENTPROZESSES IN RM Grundlegende Überlegungen und Einstellungen Erstellen der zentralen Kataloge Zielmanagement 36 Seite 4

5 7.4 Risikoidentifikation Risikobewertung Risikoadressierung / Gegenmaßnahmen Reporting Monitoring Chancenmanagement Incident Management 47 8 EINFÜHRUNGSMANAGEMENT Projektvorbereitung ( Strategie & Planung ) Sollkonzept ( Business Blueprint und Design ) Weitere Projektphasen (Implementierung, Roll-out, Go-Live) Einführung eines zentralen integrierten Risk-Management- und Process-Control-Systems Einführungsvarianten ( schrittweise versus Big Bang ) Weiterführende Informationen 51 9 PHASE SOLLKONZEPTION ( BUSINESS BLUEPRINT UND DESIGN ) Risk Management Projekt Scoping & SWOT-Analyse Planung Risiko-Assessment Risikoidentifikation Risikoanalyse Steuerung Monitoring & Reporting Berechtigungskonzept Risk Management / Process Control ABAP-Basisrollen ABAP-Entitätsrollen SAP NetWeaver Portal Roles SAP NetWeaver Business Client PHASE REALISIERUNG ( IMPLEMENTIERUNG ) RM standalone Grundsätzliches Aufsetzen des Systems Einrichten der Risikomanagement-Applikation Wichtige Einstellungen für die Analyse Einstellungen für Risikomaßnahmen Einstellungen für Risikofrühwarnindikatoren Besonderheiten bei der Einführung eines integrierten Szenarios Überlegungen beim Aufsetzen der Stammdaten Organisationseinheiten Verwendung eines gemeinsamen Risikokatalogs in beiden Applikationen Aktivitäts-Hierarchie Gemeinsame Softwarekomponenten Kontrollen als Risikomassnahmen Kontrollvorschläge als permanente Verbesserung des Risikomanagement-Prozesses Automatische Bewertung der Effektivität von Risikogegenmaßnahmen aus Kontrolltests und Kontrolldesign-Assessments TECHNISCHE RAHMENBEDINGUNGEN / INFRASTRUKTUR 83 Seite 5 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

6 2 Überblick SAP hat die Standard-Softwarelösungen für den Themenbereich Governance, Risk Management und Compliance (GRC) im SAP BusinessObjects-Portfolio gebündelt (siehe Abb. 1). Das SAP BusinessObjects-Portfolio enthält Lösungen, um mehr Transparenz in Geschäftsabläufen zu erreichen, um die Performance innerhalb von Geschäftsprozessen zu managen und um die Risiken und die Compliance von Unternehmen zu überwachen und zu steuern. Im Einzelnen sind dies Business-Intelligence- und Information-Management-Lösungen, Anwendungen für Governance, Risikomanagement und Compliance sowie Lösungen zum Management der Unternehmensperformance. GRC umfasst dabei die Applikationen für Access Control, Process Control, Risk Management, Global Trade Services und Environment, Health and Safety. Das SAP BusinessObjects-Portfolio Seite 6

7 Die SAP BusinessObjects GRC-Lösungen basieren auf der SAP NetWeaver Technologie-Plattform und den entsprechenden sog. content shipments. Sie sollen Unternehmen dabei helfen, ihre strategische und operative Effektivität durch die Verdichtung und Steuerung von Aktivitäten bezüglich signifikanter Risiken (key risks) sowie durch die Automatisierung von Kontrollen über alle Geschäftsprozesse hinweg und die Überwachung von Risiken und Kontrollen über verschiedenste Systeme hinweg zu maximieren. Die SAP Release und Wartungsstrategie für die hier besprochenen GRC-Lösungen kann unter folgendem Link eingesehen werden: Mit SAP BO Risk Management können Unternehmensrisiken identifiziert, bewertet, minimiert und überwacht werden. Die entsprechenden Funktionsbausteine umfassen > Risikoplanung (u.a. Definition risikorelevanter Geschäftsaktivitäten, Risikoklassifizierung, Einrichtung von Risikoindikator-Frameworks), > Risikoidentifizierung (u.a. Risiken und Chancen identifizieren, Risikoindikatoren zuordnen, Risikozusammenhänge definieren), > Risikoanalyse (u.a. Risiken qualitativ und quantitativ analysieren, Risiken priorisieren, Risikoszenarios erstellen), > Risikomaßnahmen (u.a. Risikomaßnahmen dokumentieren, Maßnahmen zur Risikominierung festlegen, Prozesskontrollen zuordnen), > Risikoüberwachung (u.a. Risikoindikatoren überwachen, Wirksamkeit der ergriffenen Maßnahmen überwachen, eingetretene Risikovorfälle und Verluste dokumentieren). Seite 7 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

8 3 Regulatorische Anforderungen In Deutschland haben sich Gesetzgeber, das Institut der Wirtschaftsprüfer in Deutschland (IDW) sowie das DRSC Deutsches Rechnungslegungs Standards Committee e.v. schon seit vielen Jahren mit den Themen Governance, Risk Management und Compliance beschäftigt. Hervorzuheben sind dabei die Regelungen zum Deutschen Corporate Governance Codex 1, zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG 2 ), zum internen Kontrollsystem von Unternehmen 3, zum Bilanzrechtsmodernisierungsgesetz (BilMoG) 4 und aktuell zum Compliance-Management. 5 Den Maßstab für die Umsetzung regulatorischer Anforderungen in deutschen Unternehmen bilden im Rahmen der Prüfung der Finanzberichterstattung durch Wirtschaftsprüfer im Wesentlichen folgende gesetzliche Regelungen und Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW): > die handels- und steuerrechtlichen Vorschriften zur Ordnungsmäßigkeit der Buchführung ( 238 f. und 257 HGB sowie 145 bis 147 AO), > die IDW-Stellungnahme zur Rechnungslegung Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1, Stand: 24. September 2002), > die IDW-Stellungnahme zur Rechnungslegung Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2, Stand: 29. September 2003), > der IDW-Prüfungsstandard Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261, Stand 6. September 2006), > der IDW-Prüfungsstandard zur Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330, Stand: 24. September 2002), > der IDW-Prüfungsstandard Die Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340 vom ), > der IDW-Prüfungsstandard Die Beurteilung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprüfung (IDW PS 525 vom ) > sowie die von der Arbeitsgemeinschaft für Wirtschaftliche Verwaltung e.v. erarbeiteten Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sowie das dazu ergangene Schreiben des Bundesministers der Finanzen vom 7. November Die vorgenannten gesetzlichen Vorschriften und fachlichen Stellungnahmen sind generell zu beachtende Anforderungen und beziehen sich überwiegend auf rechnungslegungsrelevante Sachverhalte. Gleichwohl sind sie aufgrund gleicher Kontrollziele geeignet, auch Aussagen zur Ordnungsmäßigkeit bei Fragestellungen außerhalb der Buchführung zu treffen. Darüber hinaus können im Einzelfall weitere Prüfungsstandards anzuwenden sein (z.b. für Dienstleistungsunternehmen oder Shared Service Center, die administrative Aufgaben u.a. im Bereich der Benutzeradministration und des Zugriffsschutzes übernommen haben (z.b. der IDW-Prüfungsstandard zur Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen (IDW PS 951, Stand: 19. September 2007). Dieser GRC-Best-Practice-Leitfaden möchte lediglich in Kurzform auf wesentliche zu beachtende regulatorische Anforderungen insbesondere in jüngerer Zeit eingehen und erhebt deshalb auch keinen Anspruch auf Vollständigkeit der hier vorgestellten Regelungen. Wer sich intensiver mit diesem Thema beschäftigen möchte, kann dies u.a. in folgenden Büchern nachlesen: Seite 8 1 Deutscher Corporate Governance Kodex (DCGK Juni 2009) 2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) 1. Mai IDW-Prüfungsstandard Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261, Stand 6. September 2006) 4 Bilanzrechtsmodernisierungsgesetz (BilMoG) vom 25. Mai 2009 (BGBl. I S. 1102) 5 IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980, Stand: )

9 > SAP Access Control, 2008, ISBN > Governance, Risk und Compliance mit SAP, 2008, ISBN > SOX Compliance with SAP Treasury and Risk Management, 2008, ISBN > Datenschutz in SAP-Systemen: Konzeption und Implementierung, 2011, ISBN > Handbuch SAP-Revision: IKS, Audit, Compliance, 2010, ISBN > Corporate Governance, Risk Management und Compliance: Innovative Konzepte und Strategien, 2010, ISBN > COBIT und der Sarbanes-Oxley Act, 2007, ISBN > Sicherheit und Berechtigungen in SAP-Systemen, 2005, ISBN Als ergänzende Lektüre empfehlen wir die folgenden DSAG-Leitfäden, jeweils als E-Book: Den DSAG-Best- Practice-Leitfaden zu SAP BO GRC Access Control (www.dsag.de/go/e-grc), den DSAG-Datenschutzleitfaden SAP ERP 6.0 (www.dsag.de/go/e-datenschutz) sowie den DSAG-Prüfleitfaden SAP ERP 6.0 (www.dsag.de/ go/e-pruefleitfaden). Alle Leitfäden der DSAG sind unter veröffentlicht. 3.1 DEUTSCHER CORPORATE GOVERNANCE KODEX (DCGK) Die Themen Risikomanagement und Compliance sind im DCGK in folgenden Abschnitten angesprochen: > Abschnitt 3 Zusammenwirken von Vorstand und Aufsichtsrat Der Vorstand informiert den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen der Planung, der Geschäftsentwicklung, der Risikolage, des Risikomanagements und der Compliance. > Abschnitt 4 Aufgaben und Zuständigkeiten des Vorstands Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen. > Abschnitt 5 Aufgaben und Befugnisse des Aufsichtsratsvorsitzenden Der Aufsichtsratsvorsitzende soll mit dem Vorstand, insbesondere mit dem Vorsitzenden bzw. Sprecher des Vorstands, regelmäßig Kontakt halten und mit ihm die Strategie, die Geschäftsentwicklung und das Risikomanagement des Unternehmens beraten. > Abschnitt 5.3 Bildung von Ausschüssen Der Aufsichtsrat soll einen Prüfungsausschuss (Audit Committee) einrichten, der sich insbesondere mit Fragen der Rechnungslegung, des Risikomanagements und der Compliance befasst. Seite 9 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

10 3 Regulatorische Anforderungen 3.2 GESETZ ZUR KONTROLLE UND TRANSPARENZ IM UNTERNEHMENS- BEREICH (KONTRAG) Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu betreiben sowie Aussagen zu Risiken und zur Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. Die Einrichtung eines Risikofrüherkennungssystems (RFS) gem. 91 Abs. 2 AktG ist unmittelbar nur für Aktiengesellschaften gesetzlich vorgeschrieben. Das RFS muss demnach gewährleisten, dass alle bestandsgefährdenden Unternehmensrisiken frühzeitig identifiziert, bewertet, kommuniziert und lfd. überwacht werden. Das Risikofrüherkennungssystem unterscheidet sich von einem Risikomanagementsystem (RMS) durch die fehlende Risikosteuerungsfunktion, d.h. Risiko-Gegenmaßnahmen sind in einem RFS nicht vorgesehen. Sie wären Teil eines Risikomanagementsystems. Die Einrichtung, Funktionsweise und Dokumentation des Risikofrüherkennungssystems ist durch den Abschlussprüfer im Rahmen der Jahresabschlussprüfung zu beurteilen. Die Prüfung wird nach dem IDW-Prüfungsstandard PS 340 durchgeführt. 3.3 IDW RS FAIT 1 6 RS FAIT 1 definiert u.a. Sicherheitsanforderungen an rechnungslegungsrelevante Daten. Im Einzelnen werden gefordert: IT-Systeme haben daher die folgenden Sicherheitsanforderungen zu erfüllen: > Vertraulichkeit verlangt, dass von Dritten erlangte Daten nicht unberechtigt weitergegeben oder veröffentlicht werden. Organisatorische und technische Maßnahmen wie bspw. Verschlüsselungstechniken umfassen u.a. Anweisungen zur Beschränkung der Übermittlung personenbezogener Daten an Dritte, die verschlüsselte Übermittlung von Daten an berechtigte Dritte, die eindeutige Identifizierung und Verifizierung des Empfängers von Daten oder die Einhaltung von Löschfristen gespeicherter personenbezogener Daten. > Integrität von IT-Systemen ist gegeben, wenn die Daten und die IT-Infrastruktur sowie die IT-Anwendungen vollständig und richtig zur Verfügung stehen und vor Manipulation und ungewollten oder fehlerhaften Änderungen geschützt sind. Organisatorische Maßnahmen sind geeignete Test- und Freigabeverfahren. Technische Maßnahmen sind z.b. Firewalls und Virenscanner. Die Ordnungsmäßigkeit der IT-gestützten Rechnungslegung setzt voraus, dass neben den Daten und IT-Anwendungen auch die IT-Infrastruktur nur in einem festgelegten Zustand eingesetzt wird und nur autorisierte Änderungen zugelassen werden. > Verfügbarkeit verlangt zum einen, dass das Unternehmen zur Aufrechterhaltung des Geschäftsbetriebs die ständige Verfügbarkeit der IT-Infrastruktur, der IT-Anwendungen sowie der Daten gewährleistet. Zum anderen müssen die IT-Infrastruktur, die IT-Anwendungen und Daten sowie die erforderliche IT-Organisation in angemessener Zeit funktionsfähig bereitstehen. Daher sind z.b. geeignete Back-up-Verfahren zur Notfallvorsorge einzurichten. Maßnahmen zur Sicherung der Verfügbarkeit sind erforderlich, um den Anforderungen nach Lesbarmachung der Buchführung gerecht zu werden. Seite 10 6 IDW-Stellungnahme zur Rechnungslegung Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1, Stand: 24. September 2002).

11 > Autorisierung bedeutet, dass nur im Voraus festgelegte Personen auf Daten zugreifen können (autorisierte Personen) und dass nur sie die für das System definierten Rechte wahrnehmen können. Diese Rechte betreffen das Lesen, Anlegen, Ändern und Löschen von Daten oder die Administration eines IT-Systems. Dadurch soll ausschließlich die genehmigte Abbildung von Geschäftsvorfällen im System gewährleistet werden. Geeignete Verfahren hierfür sind physische und logische Zugriffsschutzmaßnahmen (z.b. Passwortschutz). Organisatorische Regelungen und technische Systeme zum Zugriffsschutz sind die Voraussetzung zur Umsetzung der erforderlichen Funktionstrennungen. Neben Identitätskarten werden zukünftig biometrische Zugriffsgenehmigungsverfahren an Bedeutung gewinnen. > Authentizität ist gegeben, wenn ein Geschäftsvorfall einem Verursacher eindeutig zuzuordnen ist. Dies kann bspw. über Berechtigungsverfahren geschehen. Beim elektronischen Datenaustausch bieten sich für eine Identifizierung des Partners bspw. digitale Signatur- oder passwortgestützte Identifikationsverfahren an. > Unter Verbindlichkeit wird die Eigenschaft von IT-gestützten Verfahren verstanden, gewollte Rechtsfolgen bindend herbeizuführen. Transaktionen dürfen durch den Veranlasser nicht abstreitbar sein, weil bspw. der Geschäftsvorfall nicht gewollt ist. 3.4 IDW RS FAIT 2 7 Risiken können sich innerhalb des E-Commerce insbesondere aus der fehlenden Kontrolle über den Datentransfer im Internet ergeben: > Unzureichender Schutz vor Verfälschung (Verlust der Integrität) > Unsichere Datenverschlüsselung (Verlust der Vertraulichkeit) > Gefährdung der Verfügbarkeit (Verlust der Verfügbarkeit) > Unwirksame Authentisierungsmechanismen (Verlust der Authentizität) > Unauthorisierte Zugriffe mit Hilfsprogrammen (Verlust der Autorisierung) > Unzureichende Protokollierung der Transaktionsdaten (Verlust der Verbindlichkeit) Mangelnde Authentizität und Autorisierung bewirken bspw., dass Geschäftsvorfälle inhaltlich unzutreffend abgebildet werden (Verletzung des Grundsatzes der Richtigkeit). Die Autorisierung soll insbesondere sicherstellen, dass keine unberechtigten bzw. keine fiktiven Geschäftsvorfälle in das System eingehen. Es ist festzulegen, wann, wie und durch wen die Autorisierung erfolgt. Autorisierungsverfahren sind Teil der Verfahrensdokumentation und für zehn Geschäftsjahre aufbewahrungspflichtig. Im Rahmen des durch den Anwender zu erstellenden Sicherheitskonzeptes sind auch für E-Commerce- Anwendungen Sicherungsmaßnahmen abzuleiten, die physische Sicherungsmaßnahmen und logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren umfassen. 3.5 IDW RS FAIT 3 8 Konkretisiert werden die aus 257 HGB resultierenden Anforderungen an die Archivierung aufbewahrungspflichtiger Unterlagen sowie die in FAIT 1 dargestellten Aufbewahrungspflichten beim Einsatz von elektronischen Archivierungssystemen. 7 IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) 8 IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3) Seite 11 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

12 3 Regulatorische Anforderungen Technische und organisatorische Risiken aus dem Einsatz von Archivierungsverfahren können die Sicherheit und Ordnungsmäßigkeit der Rechnungslegung beeinträchtigen: > Unzureichende organisatorische Festlegungen und Verfahrensanweisungen können die Nachvollziehbarkeit und Anwendbarkeit der Archivierungsverfahren gefährden. > Mangelhafte Zugriffskontrollen innerhalb des Archivierungssystems ermöglichen die missbräuchliche oder unauthorisierte Einsichtnahme der archivierten Dokumente und Daten. > Durch Veränderungen, Manipulationen oder Löschung der archivierten Daten und Dokumente wird deren Integrität, Authentizität oder Verfügbarkeit verletzt. 3.6 IDW PRÜFUNGSSTANDARD PS 261 (U.A. INTERNES KONTROLLSYSTEM) Gem. IDW PS 261 werden unter einem internen Kontrollsystem die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements > zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen), > zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie > zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften. 9 Als organisatorische Sicherungsmaßnahmen sind z.b. definiert laufende, automatische Einrichtungen. Sie umfassen fehlerverhindernde Maßnahmen, die sowohl in die Aufbau- als auch die Ablauforganisation eines Unternehmens integriert sind und ein vorgegebenes Sicherheitsniveau gewährleisten sollen (z.b. Funktionstrennung, Zugriffsbeschränkungen im IT-Bereich) 10. Damit sind u.a. alle im Rahmen von Zugriffsberechtigungen getroffenen Maßnahmen Teil des internen Kontrollsystems und damit auch wesentlicher Bestandteil der Umsetzung der Compliance-Anforderungen durch das Management eines Unternehmens. Die Regelungsbereiche des internen Kontrollsystems werden lt. IDW PS 261 wie folgt definiert: INTERNES KONTROLLSYSTEM (IKS) INTERNES STEUERUNGSSYSTEM INTERNES ÜBERWACHUNGSSYSTEM Prozessunabhängige Überwachungsmaßnahmen Prozessunabhängige Überwachungsmaßnahmen Organisatorische Sicherheitsmaßnahmen Kontrollen Interne Revision Sonstige Elemente des internen Kontrollsystems Seite 12 9 IDW PS 261, Tz IDW PS 261, Tz. 20

13 Neben den o.g. organisatorischen Sicherungsmaßnahmen sind auch Kontrollen prozessintegrierte Überwachungsmaßnahmen, z.b. die Überprüfung der Vollständigkeit und Richtigkeit verarbeiteter Daten (u.a. Änderungen von Berechtigungen und Benutzerprofilen). 3.7 IDW PS Dieser Prüfungsstandard beschäftigt sich im Wesentlichen mit den Anforderungen an ordnungsmäßige und sichere Rechnungslegungssysteme und der Sicherstellung der Vollständigkeit, Richtigkeit, der in diesem System erfassten, verarbeiteten und ausgegebenen Daten. In diesem Zusammenhang werden u.a. folgende Risiken des IT-Einsatzes hervorgehoben: > IT-Anwendungsrisiken (fehlende oder nicht aktuelle Verfahrensregelungen und -beschreibungen, unzureichende Zugriffsberechtigungskonzepte und Zugriffskontrollsysteme) > IT-Geschäftsprozessrisiken (u.a. unzureichende Transparenz der Datenflüsse, unzureichende Integration der Systeme oder mangelhafte Abstimm- und Kontrollverfahren in Schnittstellen zwischen Teilprozessen mit der Gefahr, dass IT-Kontrollen bspw. Zugriffsrechte, Datensicherungsmaßnahmen, nur hinsichtlich der Teilprozesse, jedoch nicht hinsichtlich der Gesamtprozesse wirksam werden.) Wesentliches Beurteilungsobjekt sind im Hinblick auf SAP BusinessObjects Access Control die logischen Zugriffskontrollen. Logische Zugriffskontrollen sind wesentliche Elemente der Datensicherheit und des Datenschutzes und Voraussetzung zur Gewährleistung der Vertraulichkeit. Die Sicherheitsanforderungen Autorisierung und Authentizität bedingen zwingend logische Zugriffskontrollen: > Implementierung eines organisatorischen Verfahrens zur Beantragung, Genehmigung und Einrichtung von Benutzerberechtigungen in IT-Systemen > Berechtigungen auf Betriebssystemebene (Anmeldung gegenüber Rechnern in einem Netzwerk) > Rechte zur Ausführung von Transaktionen in einer IT-Anwendung Zugriffskontrollen sind als angemessen zu beurteilen, wenn sie geeignet sind sicherzustellen, dass die Berechtigungsverwaltung und die eingerichteten Systemrechte den Festlegungen im Sicherheitskonzept entsprechen und damit unberechtigte Zugriffe auf Daten sowie Programmabläufe zur Veränderung von Daten ausgeschlossen sind. Zudem müssen Zugriffskontrollen so ausgestaltet sein, dass sie die Identität des Benutzers eindeutig feststellen und nicht autorisierte Zugriffsversuche abgewiesen werden. 3.8 IDW PS Dieser Prüfungsstandard regelt die Systemprüfung des Risikofrüherkennungssystems nach 91 Abs. 2 AktG (das Überwachungssystem ist durch den Vorstand einzurichten) bei börsennotierten Aktiengesellschaften ( 3 Abs. 2 AktG) im Rahmen der Abschlussprüfung ( 317 Abs. 4 HGB). Das Risikofrüherkennungssystem soll bestandsgefährdende Risiken frühzeitig erkennen und dem Management rechtzeitig die Möglichkeit zur Gegensteuerung eröffnen. Die Maßnahmen zur Einrichtung eines solchen Systems sind auch Prüfungsgegenstand für die interne Revision, die z.b. folgende Bereiche abdeckt: 11 IDW-Prüfungsstandard zur Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330, Stand: 24. September 2002) 12 IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340, Stand: ) Seite 13 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

14 3 Regulatorische Anforderungen > Erfassung der Risikofelder im Unternehmen > Beurteilung der Maßnahmen zur Risikoerfassung und Risikokommunikation > Beurteilung der Nachhaltigkeit der getroffenen Maßnahmen > Einhaltung der integrierten Kontrollen Alle getroffenen Maßnahmen zur Einrichtung eines Risikofrüherkennungssystems sind vom Unternehmen zu dokumentieren. In diesem Zusammenhang verdeutlicht ein Urteil des Landgerichts München die entsprechenden Vorstandspflichten: Der Vorstand einer Aktiengesellschaft ist nicht nur verpflichtet, ein funktionsfähiges Warnsystem hinsichtlich der wirtschaftlichen Entwicklung des Unternehmens einzurichten, sondern hat auch dafür zu sorgen, dass unmissverständliche Zuständigkeiten begründet, ein engmaschiges Berichtssystem eingeführt und eine entsprechende Dokumentation sichergestellt werden. Hat der Vorstand dies versäumt, kann das Gericht auf Klage eines Aktionärs einen Hauptversammlungsbeschluss zur Entlastung des Vorstands für nichtig erklären (Urteil des LG München I vom , 5 HKO 15964/06, ZIP 2007, 1951). Es liegt auf der Hand, dass für eine systematische Erfassung und Steuerung aller bestandsgefährdenden Risiken eines Unternehmens eine IT-Unterstützung unabdingbar ist. Gerade bei komplexen börsennotierten Unternehmen reichen dafür Office-Produkte nicht mehr aus, obwohl sie noch vielfach im Einsatz sind. 3.9 IDW PS Der Prüfungsstandard PS 525 regelt die Prüfung des Risikomanagementsystems bei Kreditinstituten. Geprüft wird, inwieweit das Kreditinstitut die Grundsätze zur Zielsetzung, zum Umfang und zu den verantwortlichen Organisationseinheiten für die zu tätigenden Geschäfte und einzugehenden Risiken (Strategie) schriftlich fixiert und ein Bewusstsein über diese Risiken in der Gesamtorganisation (Risikobewusstsein) geschaffen hat. Es wird beurteilt, inwieweit das Kreditinstitut hinsichtlich der Einrichtung und Funktionsfähigkeit des Risikomanagements folgende Kriterien erfüllt: > Risikoerkennung (frühzeitiges und vollständiges Erkennen aller wesentlichen Risiken) > Risikoanalyse (Beurteilung der Risiken bezüglich der Bedeutung für die geschäftspolitischen Ziele) > Risikosteuerung (gezielte Steuerung im Einklang mit der Strategie und der Risikotragfähigkeit) > Risikokommunikation (systematische und entscheidungsorientierte Aufbereitung und Berichterstattung an das Management) > Risikoüberwachung Darüber hinaus haben auch Aktiengesellschaften nach 91 Abs. 2 AktG eine gesetzliche Verpflichtung zur Einführung eines Risikomanagementsystems. Diese bezieht sich jedoch nur auf die Vermeidung bestandsgefährdender Risiken. Sofern die Aktiengesellschaft börsennotiert ist, besteht auch eine Prüfungspflicht durch den zuständigen Abschlussprüfer. Art und Umfang der notwendigen Prüfungshandlungen ergeben sich aus dem IDW PS 340, welcher hinsichtlich der Anforderungen dem IDW PS 525 weitgehend entspricht. Seite IDW Prüfungsstandard: Die Prüfung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprüfung (IDW PS 525, Stand: )

15 3.10 IDW PS Am 11. März 2011 wurde vom Institut der Wirtschaftsprüfer (IDW) der Prüfungsstandard Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen verabschiedet. Dieser Standard ist erstmals für Prüfungen anzuwenden, die nach dem 30. September 2011 durchgeführt werden. Dabei handelt es sich um freiwillige Prüfungen, d.h., es besteht derzeit keine Prüfungspflicht. Man kann jedoch davon ausgehen, dass sich zunehmend Unternehmen einer Prüfung ihres CMS unterziehen, um zumindest von Aufsichtsrats- oder Vorstandsseite nachzuweisen, dass alle Aufsichtspflichten erfüllt worden sind und man sich z.b. kein pflichtwidriges Verhalten nach 93 Absatz 1 AktG vorzuwerfen hat. Der Prüfungsstandard legt einen einheitlichen Rahmen für Compliance-Management-Systeme (CMS) fest. Damit gibt es jetzt erstmalig in Deutschland ein seitens der Wirtschaftsprüfung definiertes Rahmenkonzept mit Leitlinien und Vorgaben für Unternehmen, die sich zur Verbesserung ihrer Compliance mit der Einrichtung eines Compliance-Management-Systems oder ähnlichen Strukturen beschäftigen oder dies bereits weitgehend umgesetzt haben. Damit ist davon auszugehen, dass durch diesen Prüfungsstandard auch eine zunehmende Standardisierung der Compliance-Organisation erzielt wird und die Compliance- Aufgaben innerhalb der Corporate Governance deutscher Unternehmen wirksam und nachhaltig erfüllt werden können. Als eines der ersten Unternehmen unterzieht z.b. ThyssenKrupp sein Compliance-System in 2011 einer Wirksamkeitsprüfung seines CMS nach IDW PS 980 mit den Schwerpunkten Kartellrecht und Korruptionsbekämpfung 15. Nachfolgend sind einige Kernelemente des Prüfung des Compliance-Management-Systems nach dem Prüfungsstandard IDW PS980 dargestellt, die derzeit auch in der Arbeitsgruppe GRC der DSAG behandelt werden mit dem Ziel, den DSAG Mitgliedsfirmen praktische Hilfestellung bei der nachhaltigen Einrichtung und dem Management von Compliance-Systemen zu geben. Audit Compliance Management (nach IDW PS 980) > Compliance-Management-System (CMS) ist ein Teilbereich des Risikomanagementsystems (RMS) > IDW PS 980 ersetzt nicht > Die Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340) > Die Beurteilung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprüfung (IDW EPS 525) > Auftrags-(Prüfungs-)typen > Prüfung der Konzeption des CMS > Prüfung von Angemessenheit und Implementierung des CMS > Prüfung von Angemessenheit, Implementierung und Wirksamkeit des CMS > Prüfungsgebiete (Aufbau- und Funktionsprüfung abhängig vom Auftragstyp) > Compliance-Kultur > Grundlagen für die Angemessenheit und Wirksamkeit des CMS > Grundeinstellung und Verhaltensweisen des Managements (Tone from the Top) > Compliance-Ziele > Festlegung wesentlicher Ziele, die mit dem CMS erreicht werden sollen 14 IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen (IDW PS 980, Stand: ) 15 Vgl. Präsentation ThyssenKrupp Compliance-Programm, Dr. Thomas Kremer, Chefjustitiar und Chief Compliance Officer ThyssenKrupp AG, 26. Mai 2011 Seite 15 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

16 3 Regulatorische Anforderungen > Festlegung wesentlicher Teilbereiche und in den Teilbereichen einzuhaltenden Regeln > Compliance-Organisation > Rollen und Verantwortlichkeiten > Aufbau- und Ablauforganisation > Ressourcenplanung > Compliance-Risiken > Identifikation von wesentlichen Compliance-Risiken > Systematische Risikoerkennung mit Risikobeurteilung > Compliance-Programm > Auf Grundlage der identifizierten Risiken werden Grundsätze und Maßnahmen eingeführt, die risikominimierend wirken > Compliance-Kommunikation > Betroffene Mitarbeiter und ggfs. Dritte werden über das Compliance-Programm sowie Rollen/ Verantwortlichkeiten informiert > Festlegung eines Berichtsweges über identifizierte Risiken, festgestellte Regelverstöße sowie eingehende Hinweise > Compliance-Überwachung und Verbesserung > Überwachung der Angemessenheit und Wirksamkeit (inkl. Reporting) > Voraussetzung: ausreichende Dokumentation > Management trägt Verantwortung 3.11 BUNDESDATENSCHUTZGESETZ (BDSG) Gemäß 9 BDSG sind zur Sicherstellung des Datenschutzes bei personenbezogenen Daten technische und organisatorische Maßnahmen erforderlich. Hinsichtlich der Zugriffskontrollen wird gefordert, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle). Ferner ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), Gem. Ziff. 5 der Anlage zu 9 BDSG ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), Weiterhin ist lt. Ziff. 7 zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Einzelheiten zum Datenschutz im SAP-Umfeld können Sie im DSAG Datenschutzleitfaden nachlesen Leitfaden Datenschutz SAP ERP 6.0 (Stand 20. September 2009), Download über DSAGNet Seite 16

17 3.12 BILANZRECHTSMODERNISIERUNGSGESETZ (BILMOG) Die neuen Bilanzierungsregelungen sind verpflichtend für Geschäftsjahre ab dem 01. Januar 2010 anzuwenden. Sie sind anzuwenden durch kapitalmarktorientierte Konzernunternehmen im Sinne des 264d HGB n.f. Neben einer Vielzahl neuer HGB Regelungen zur Bilanzierung und Bewertung innerhalb der Rechnungslegung eines Unternehmens werden mit dem BilMoG auch wesentliche Vorgaben aus EU-Recht (8. EU-Richtlinie) umgesetzt. Auch das interne Kontrollsystem und das Risikomanagementsystem rücken durch BilMoG stärker in den Blickpunkt von Vorständen und Aufsichtsräten und insofern stehen in den Unternehmen die entsprechenden aufbau- und ablauforganisatorischen Fragestellungen (auch zu Themen wie Funktionstrennung und sichere Berechtigungskonzepte und -systeme) im Fokus. Bei unzureichender Ausübung der Managementpflichten mit entsprechenden Schadensfällen können sich Haftungsansprüche ergeben (Organisationsverschulden gem. 130 OWiG, 93 Abs. 2 AktG bzw. 43 GmbHG) LAGEBERICHT ( 289, 315 HGB N.F.) Im Lagebericht sind die wesentlichen Merkmale des rechnungslegungsbezogenen internen (IKS) und des Kontroll- und Risikomanagementsystems (RMS) zu beschreiben PFLICHTEN DES AUFSICHTSRATES Der Aufsichtsrat hat die Verpflichtung zur Überwachung folgender Bereiche: > Rechnungslegungsprozess > Internes Kontrollsystem (IKS) > Risikomanagementsystem (RMS) > Internes Revisionssystem (Interne Revision) Diese Überwachungspflichten werden dazu führen, dass sich Aufsichtsräte entsprechende Berichtswege mit wirksamen Überwachungsstrukturen einrichten und dies auch Auswirkungen auf effiziente und effektive Kontrollen insbesondere in solchen Unternehmensbereichen haben wird, die Daten zur Finanzberichterstattung beisteuern (insbesondere Rechnungs- und Finanzwesen, Personalwesen, Materialwirtschaft, Produktion, Vertrieb) HANDLUNGSFELDER FÜR DEN VORSTAND Der Vorstand trägt die Verantwortung für Einrichtung, angemessene Ausgestaltung und den Nachweis der Wirksamkeit u.a. des IKS und des RMS. Dies erfordert eine Bestandsaufnahme der vorhandenen Instrumente zum IKS/RMS: > Systematische Aufnahme vorhandener wesentlicher Instrumente (u.a. Softwareunterstützung) und deren Verzahnung > Analyse der Angemessenheit, insbesondere der Nachweisfähigkeit > Maßnahmen zur Verbesserung des IKS/RMS Seite 17 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

18 3 Regulatorische Anforderungen Darüber hinaus ist ein Nachweis der Wirksamkeit von IKS/RMS zu führen: > Externe Zertifizierung der internen Revision (IR) > Etablierung eines Regelprozesses zum Monitoring der Wirksamkeit (Self Assessment, Prüfungsplanung der IR, Prüfung durch Externe, Konsolidierung der Überwachungsergebnisse) > Initiierung von Verbesserungsmaßnahmen bei festgestellten Schwächen > Berichterstattung an den Aufsichtsrat Durch eine möglichst integrierte Steuerung und Überwachung der Risiken und Kontrollen innerhalb für das Unternehmen besonders kritischer Geschäftsabläufe mit Hilfe von SAP BO GRC Access Control, Process Control und Risk Management kann ein effektives und effizientes Management der Risiken und Kontrollen erreicht werden. Dies ist eine wesentliche Voraussetzung für die praktische Umsetzung der BilMoG-Anforderungen an Vorstand und Aufsichtsrat im Rahmen der Überwachung des internen Kontrollsystems und internen Risikomanagementsystems. Eine der wesentlichen Maßnahmen zur Verbesserung des internen Kontrollsystems ist die Beseitigung von Risiken aufgrund von fehlender oder unzureichender Funktionstrennung beim Daten- und Programmzugriff (Stichwort: Segregation of Duties) und damit dem unkontrollierten, umfassenden Zugriff auf wesentliche IT-Systeme zur Abwicklung wesentlicher finanzkritischer Geschäftsprozesse. Eine unter IKS-Gesichtspunkten wirksame Funktionstrennung in der Ablauforganisation eines Unternehmens lässt sich durch ein entsprechendes Benutzerkonzept mit auf den Arbeitsplatz zugeschnittenen Benutzerberechtigungen erreichen. Der geschilderte Handlungsbedarf gilt übrigens nicht nur für große börsennotierte Unternehmen, sondern ist auch für kapitalmarktorientierte Mittelstandsunternehmen verpflichtend, die ein funktionierendes internes Kontroll- und Risikomanagementsystem sicherstellen wollen BASEL II Unter dem Begriff Basel II werden die Eigenkapitalvorschriften für Kreditinstitute zusammengefasst, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Auf der Grundlage der EU-Richtlinien 2006/48/EG und 2006/49/EG erfolgte in Deutschland die Umsetzung mit Wirkung ab 1. Januar 2007 durch das Kreditwesengesetz, die Solvabilitätsverordnung und die MaRisk (Mindestanforderungen an das Risikomanagement). Die Rahmenvereinbarung von Basel II basiert auf den drei Säulen > Mindestkapitalvorschriften (Berechnung einer angemessenen Eigenkapitalausstattung) > aufsichtsrechtliche Überprüfungsverfahren > Marktdisziplin (höheres Maß an Transparenz bei der Offenlegung von Informationen der Bank. Sie verlangt die Offenlegung quantitativer und qualitativer Aspekte der von der Bank verwendeten Methoden für das Management ihrer Eigenkapitalanforderungen) Seite 18

19 Kreditinstitute müssen zu jedem einzelnen Risikobereich (z.b. Kredit-, Markt-, operationelles Risiko, Zinsänderungsrisiko des Anlagebuchs und Beteiligungspositionen) die internen Ziele und Grundsätze des Risikomanagements beschreiben. Dazu gehören: > Strategien und Prozesse > Struktur und Organisation der relevanten Risikomanagement-Funktion > Art und Umfang der Risikomeldungen und/oder -messsysteme > Grundsätze der Absicherung und/oder Minderung von Risiken sowie Strategien und Prozesse zur Überwachung der fortgesetzten Effektivität dieser Absicherungen/Risikominderungen Innerhalb der Mindestanforderungen an das Risikomanagement (MaRisk) ist hinsichtlich der internen Kontrollverfahren festgelegt, dass Adressausfallrisiken, Marktpreisrisiken, Zinsänderungsrisiken, Liquiditätsrisiken und operationelle Risiken anhand wirksamer Risikosteuerungs- und Controllingprozesse zu überwachen sind und darüber zu berichten ist BASEL III Die neuen Empfehlungen (Basel III) wurden im November 2010 verabschiedet und basieren einerseits auf den Erfahrungen mit Basel II und andererseits auf den Erkenntnissen und Erfahrungen aus der weltweiten Finanz- bzw. Wirtschaftskrise. Sie sind bis 2018 umzusetzen. Von den Banken wird die Erhöhung der Mindesteigenkapitalanforderungen und die Einführung von Kapitalpuffern gefordert. Damit sollen die Banken im Falle einer Krise besser gewappnet sein MINDESTANFORDERUNGEN AN COMPLIANCE MACOMP Am 7.Juni 2010 wurden von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Mindestanforderungen an Compliance und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach 31 ff. WpHG (MaComp) veröffentlicht 17. Die neuen Vorgaben sind bis Ende 2010 umzusetzen. Durch die Anforderungen sollen insbesondere Unsicherheiten innerhalb der Wertpapier-Compliance ausgeräumt werden. Die MaComp richten sich an alle Wertpapierdienstleistungsunternehmen im Sinne des 2 Abs. 4 WpHG. Eine Compliance-Funktion, die prozessbegleitend und präventiv arbeiten soll, ist einzurichten. Dabei ist die Compliance-Funktion Teil des internen Kontrollsystems MINDESTANFORDERUNGEN AN DAS RISIKOMANAGEMENT MARISK Die aktuellen MaRisk wurden mit BaFin-Rundschreiben vom 15. Dezember 2010 verkündet. Im Einzelnen sind u.a. folgende Handlungsfelder präzisiert 18 : > Risiken > Geschäfte > Gesamtverantwortung der Geschäftsleitung > Allgemeine Anforderungen an das Risikomanagement > Internes Kontrollsystem mit Aufbau- und Ablauforganisation, Risikosteuerungs- und -controllingprozesse, Stresstests > Interne Revision > Risikomanagement auf Gruppenebene > Organisationsrichtlinien 17 BaFin: Rundschreiben MaComp WA 4/2010 vom 07. Juni BaFin: Rundschreiben 11/2010 (BA) - Mindestaforderungen an das Risikomanagement MaRisk vom 15. Dezember 2010 Seite 19 BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

20 3 Regulatorische Anforderungen > Technisch-organisatorische Ausstattung (u.a. müssen die IT-Systeme und die IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen) > Outsourcing (Regelung der Modalitäten bei Auslagerung von Dienstleistungen an Dritte, wie z.b. Festlegung von Informations- und Prüfungsrechten, Sicherstellung der Datenschutzbestimmungen) 3.17 MARKETS IN FINANCIAL INSTRUMENTS DIRECTIVE MIFID Bei der MiFiD handelt es sich um eine EU-Richtlinie, die in Deutschland im Wesentlichen in 2007 mit dem Finanzmarktrichtlinie-Umsetzungsgesetz (FRUG) in nationales Recht überführt worden ist. Das FRUG regelt insbesondere die Verhaltens-, Organisation- und Transparenzpflichten der Wertpapierdienstleistungsunternehmen. Damit sind entsprechende Informations- und Berichtspflichten sowie Dokumentatons- und Archivierungsanforderungen verbunden, die letztlich nur durch geeignete IT-Systeme und Applikationen umzusetzen sind SOLVABILITÄTSVERORDNUNG SOLVV Hierbei handelt es sich um eine Verordnung über die angemessene Eigenmittelausstattung von Instituten, Institutsgruppen und Finanzholding-Gruppen des Bundesministeriums der Finanzen vom 14. Dezember Die SolvV deckt die erste und dritte Säule aus Basel II ab. Die vom Gesetzgeber geforderte Markttransparenz wird durch spezielle Offenlegungsvorschriften untermauert SOLVENCY II Mit Solvency II (Solvabilität II) wird zurzeit ein neues europäisches Aufsichtssystem für Versicherungsunternehmen entwickelt. Es wird insbesondere die Kapitalanforderungen an Versicherungsunternehmen grundlegend reformieren. Das bestehende Solvenzmodell, Solvency I, wurde in den frühen 1970er-Jahren eingeführt und definiert pauschale Kapitalanforderungen (Solvenzspannen) auf relativ einfach Weise. Diese bilden nur bedingt die tatsächlichen Risiken des Versicherungsgeschäfts ab. In einigen Fällen stehen die heutigen Regelungen im Widerspruch zu gutem Risikomanagement. 19 Solvency II ist eines der wichtigsten Projekte im Bereich Aufsicht über Finanzdienstleistungen auf EU-Ebene. Ziel des Projektes ist es, die heutigen Solvabilitätsvorschriften (Eigenmittelanforderungen) für Versicherungsunternehmen zu einem konsequent risikoorientierten System der Finanzaufsicht weiterzuentwickeln. Die Versicherer werden animiert, ihr eigenes, internes Risikomanagement zu verbessern. Versicherer müssen das Vorhandensein einer Risikostrategie, einer angemessenen Aufbau- und Ablauforganisation, eines internen Steuerungs- und Kontrollsystems und einer internen Revision nachweisen. Darüber hinaus wird mit Solvency II eine angemessene Harmonisierung der Aufsicht in Europa angestrebt. Solvency II wird voraussichtlich zum 1. Januar 2013 in Kraft treten SARBANES-OXLEY ACT (SOX) SOX ist ein Oberbegriff für gesetzliche Anforderungen an interne Kontrollen der Finanzberichterstattung und betrifft alle an US-Börsen gelisteten Unternehmen. Insofern fallen auch deutsche Unternehmen unter dieses US-Gesetz von 2002, sofern ihre Wertpapiere an einer US-Börse gelistet sind. Unternehmen müssen gem. SOX nachweisen, dass wirksame interne Kontrollen (unternehmensweite Kontrollen und Geschäftsprozesskontrollen) zur Sicherstellung einer zutreffenden und vertrauenswürdigen Finanzberichterstattung eingerichtet sind. Dieser Nachweis ist durch das Management gegenüber der amerikanischen Börsenauf- Seite Siehe Gesamtverband der Deutschen Versicherungswirtschaft e.v. (GDV) 20 Auszüge BaFin Solvency II 21 COSO (Committee of Sponsoring Organizations of the Treadway Commission). Entsprechende Informationen und Detailbeschreibungen des Internal Control Framework nach COSO sind u.a. über folgenden Link verfügbar:

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Best-Practice-Leitfaden zur Einführung der SAP BusinessObjects GRC-Lösungen Deutschsprachige SAP Anwendergruppe

Best-Practice-Leitfaden zur Einführung der SAP BusinessObjects GRC-Lösungen Deutschsprachige SAP Anwendergruppe Best-Practice-Leitfaden zur Einführung der SAP BusinessObjects GRC-Lösungen Deutschsprachige SAP Anwendergruppe DSAG-Arbeitsgruppe Governance, Risk Management und Compliance Stand 17. mai 2010 SAP BusinessObjects

Mehr

SAP GRC Access Control 10.0 Best-Practice-Leitfaden zur Einführung der SAP-GRC-Lösungen

SAP GRC Access Control 10.0 Best-Practice-Leitfaden zur Einführung der SAP-GRC-Lösungen SAP GRC Access Control 10.0 Best-Practice-Leitfaden zur Einführung der SAP-GRC-Lösungen Deutschsprachige SAP-Anwendergruppe e.v. VERSION 1.0 STAND 27. APRIL 2015 2 SAP GRC Access Control 10.0 Best-Practice-Leitfaden

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

6.4.5 Compliance-Management-System (CMS)

6.4.5 Compliance-Management-System (CMS) Seite 1 6.4.5 6.4.5 System (CMS) Grundlage eines CMS ist die Compliance. Ein CMS enthält jene Grundsätze und Maßnahmen, die auf den von den gesetzlichen Vertretern festgelegten Zielen basieren und ein

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2 1.1. Definitionen 1. Grundlagen Risiko: Risiko bezeichnet die Möglichkeit eines Schadens oder Verlustes als Konsequenz eines bestimmten Verhaltens oder Geschehens. Risiken sind Bestandteil jeder unternehmerischen

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Asset Management. Rundschreiben 5/2010 (WA) vom 30.6.2010 zu den Mindestanforderungen an das Risikomanagement für Investmentgesellschaften InvMaRisk

Asset Management. Rundschreiben 5/2010 (WA) vom 30.6.2010 zu den Mindestanforderungen an das Risikomanagement für Investmentgesellschaften InvMaRisk Asset Management Rundschreiben 5/2010 (WA) vom 30.6.2010 zu den Mindestanforderungen an das Risikomanagement für Investmentgesellschaften InvMaRisk Die neuen Vorschriften im Überblick Die neuen Vorschriften

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 COMPLIANCE ASSURANCE Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 Ein wirksames CMS hilft Ihnen, Compliance Verstöße zu erkennen und Risiken präventiv zu begegnen. Wir prüfen die

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Elling Illerhues. Einführung in die Prüfung eines fachlichen Internen Kontrollsystems (IKS)

Elling Illerhues. Einführung in die Prüfung eines fachlichen Internen Kontrollsystems (IKS) Elling Illerhues Einführung in die Prüfung eines fachlichen Internen Kontrollsystems (IKS) Herausgeber Landschaftsverband Westfalen-Lippe LWL-Rechnungsprüfungsamt Piusallee 1-3 48133 Münster Telefon: 0251

Mehr

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Bedeutung des BilMoG für die Interne Revision

Bedeutung des BilMoG für die Interne Revision Bedeutung des BilMoG für die Interne Revision München, 18. Juni 2010 Volker Hampel Geschäftsführer DIIR e.v. 1 Regulatorische Initiativen bringen seit Jahren Veränderungen - Vom KonTraG zum BilMoG - Basel

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Deutsches Institut für Interne Revision (IIR) IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Ziel der Verlautbarung ist die Definition von Grundsätzen für die Prüfung

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

System-Tool MaRisk Light

System-Tool MaRisk Light Unser Angebot System-Tool MaRisk Light Von der Strategie bis zum Risikolimitsystem! Das System-Tool MaRisk Light umfasst die Module Risikoreport, Adressen- Risikomanagement, Interne Revision und IKS, Marktpreisrisikomanagement,

Mehr

Darstellung der vom IDW entwickelten Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen

Darstellung der vom IDW entwickelten Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen Buch_145x230_WG_Soziale_Marktwirtschaft 06.05.2011 10:45 Seite 197 Compliance Darstellung der vom IDW entwickelten Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen Hubertus Eichler

Mehr

Compliance im Betrieb

Compliance im Betrieb Compliance im Betrieb Konzeption eines Compliance-Management-Systems (CMS) in der Unternehmensgruppe Stadtwerke Mainz AG unter Berücksichtigung des IDW Prüfungsstandards PS 980 1 Begriffsdefinition und

Mehr

Erfüllung der Anforderungen des URÄG

Erfüllung der Anforderungen des URÄG RISK ADVISORY SERVICES Erfüllung der Anforderungen des URÄG KPMG Dienstleistungsangebot Jänner 2009 ADVISORY URÄG Agenda 1 URÄG gesetzliche Rahmenbedingungen 2 KPMG Dienstleistungen - Überblick 3 KPMG

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten?

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten? Dem Audit Committee obliegt es, die Wirtschaftsprüfer zu bestellen, aber auch als Anlaufstelle für Informationen über evtl. Beschwerden und Unregelmäßigkeiten der Rechnungslegung innerhalb des Unternehmens

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Handbuch Interne Kontrollsysteme (IKS)

Handbuch Interne Kontrollsysteme (IKS) Handbuch Interne Kontrollsysteme (IKS) Steuerung und Überwachung von Unternehmen Von Dr. Oliver Bungartz ERICH SCHMIDT VERLAG Vorwort 5 Abkürzungsverzeichnis 11 Abbildungsverzeichnis 15 Tabellenverzeichnis

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11. Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds

Mehr

Compliance as a Service

Compliance as a Service Compliance as a Service Hintergrund - Vorgehen - Ziel Jürgen Vischer, Principial Management Consultant Nürnberg, 08.10. - 10.10.2013 Folie 1 / Titel Präsentation / Referent 01. Januar 2010 Compliance ein

Mehr

Beschreibung von IKS und RMS im Lagebericht

Beschreibung von IKS und RMS im Lagebericht November 2009 Beschreibung von IKS und RMS im Lagebericht AUDIT Inhalt Editorial Betroffene Unternehmen Verbindung zwischen RMS und IKS Verbindung zur Risikoberichterstattung Struktur und Inhalt der beschreibenden

Mehr

Risikomanagement Vorgaben durch internationale und europäische Normen

Risikomanagement Vorgaben durch internationale und europäische Normen Risikomanagement Vorgaben durch internationale und europäische Normen FH-Prof. Martin Langer, FH Campus Wien Wien, 30. November 2010 Fragestellungen ISO 31000 Was ist Risiko? Beispiele aus der Praxis Hintergründe

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

STRATEGISCHES RISIKOMANAGEMENTSYSTEM. Carsten Schlachta Universität Münster, 13. Dezember 2011

STRATEGISCHES RISIKOMANAGEMENTSYSTEM. Carsten Schlachta Universität Münster, 13. Dezember 2011 Carsten Schlachta Universität Münster, 13. Dezember 2011 1 Gliederung: Vorstellung Aufbau eines strategischen Risikomanagements (RM) Risikomanagement im Internen Kontrollsystem (IKS) Spannungsfeld des

Mehr

Offenlegungsbericht nach 26a KWG in Verbindung mit 319 ff der Solvabilitätsverordnung (SolvV) der. Alpha Wertpapierhandels GmbH, Frankfurt am Main

Offenlegungsbericht nach 26a KWG in Verbindung mit 319 ff der Solvabilitätsverordnung (SolvV) der. Alpha Wertpapierhandels GmbH, Frankfurt am Main Offenlegungsbericht nach 26a KWG in Verbindung mit 319 ff der Solvabilitätsverordnung (SolvV) der Alpha Wertpapierhandels GmbH, Frankfurt am Main 1.) Einleitung Die Bankenaufsicht verlangt nach 26 des

Mehr

15. Compliance Netzwerktreffen

15. Compliance Netzwerktreffen 15. Compliance Netzwerktreffen Die CMS-Prüfung nach IDW PS 980 Dr. Martin Walter, Director Group Compliance Warum externe Prüfung? Das Ziel einer externen Prüfung des Compliance Management Systems ist

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Compliance bei Kundendaten

Compliance bei Kundendaten Compliance bei Kundendaten Ein bisher unterschätzter Bereich www.q-perior.com Compliance bei Kundendaten 1. Rechtliche Grundlagen 2. Risiken und Status quo im Umgang mit Kundendaten 3. 8 Regeln im Umgang

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Compliance Management

Compliance Management Compliance Management Fernwärmetage 2013 13.03.2013 RA Dr. Gregor Schett, LL.M. Mag. Christoph Kochauf Fellner Wratzfeld & Partner Rechtsanwälte GmbH A-1010 Wien, Schottenring 12, T: +43 (1) 537 70 F:

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Leibniz Universität Hannover Services Juni 2009. PwC

Leibniz Universität Hannover Services Juni 2009. PwC Leibniz Universität Hannover Services Juni 2009 PwC Agenda PwC Das interne Kontrollsystem Unser Prüfungsansatz Diskussion und Fragen PricewaterhouseCoopers PwC Daten und Fakten PricewaterhouseCoopers International

Mehr

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB IT-Compliance und Governance-Anforderungen an Unternehmen Mag Stefan Werle, WP/StB IT-Compliance - Definition IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements Rechtliche Aspekte der IT-Sicherheit Prof. Dr. Kathrin Winkler Gliederung 1. IT-Sicherheit als Bestandteil des 3. Besonderheiten des öff.-re. Sektors 4. Ablauf eines 5. IT-Grundschutz des BSI 1 Einordnung

Mehr

Risikomanagement. der Softship AG

Risikomanagement. der Softship AG Risikomanagement der Softship AG Risikomanagement der Softship AG Wesentliche Merkmale des Risikomanagement- und des internen Kontrollsystems Um Risiken, die den Fortbestand der Gesellschaft gefährden,

Mehr

Stellungnahme. Entwurf IDW-Prüfungsstandard/EPS 980

Stellungnahme. Entwurf IDW-Prüfungsstandard/EPS 980 Stellungnahme Recht und Versicherung Entwurf IDW-Prüfungsstandard/EPS 980 Der Bundesverband der Deutschen Industrie repräsentiert 35 Mitgliedsverbände mit über 100.000 Industrieunternehmen und ca. 7,5

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr