IT-Revision für Wirtschaftsprüfer Interne Revision & IT-Manager

Transkript

1 IT-Revision für Wirtschaftsprüfer Interne Revision & IT-Manager Basiskurs IT-Revision März 2009 Advanced IT-Revision 11. /12. Mai 2009 Optimale IT-Revision erfordert Spezialisten! Für Wirtschaftsprüfer, Interne Revisoren und Mitarbeiter der IT Was ist zu prüfen, was ist dabei zu beachten und wie vermeidet man Fehler. Jahresabschlussprüfung in der IT Von der Basis zur Umsetzung, das entscheidende Handwerkszeug Gesetzliche Rahmenbedingungen Was ist zu beachten? Welche Anforderungen werden an Sicherheit, Risikomanagement und Kontrolle in der IT gestellt? IT-Standards Wie helfen COBIT, ISO & Co? Compliance Revision Internes Kontrollsystem Unsere Themen: CIO Audit Governance IT-Controlling Standards Outsourcing Prozesse Sicherheit Risikomanagement Wirtschaftsprüfung IKS Compliance COBIT IT-Recht EuroSox Infrastruktur IT-Manager Jahresabschluss Prüfung ISO Praxisrelevantes Wissen für Wirtschaftsprüfer, Interne Revision und IT-Manager vermittelt von erfahrenen Experten: Ing. Manfred Scholz, CISA CISM - SEC4YOU Advanced IT-Audit Services Ges.m.b.H.,

2 Begrüßung Sehr geehrte Damen und Herren, die IT ist zum entscheidenden Kommunikations- und Steuerungsinstrument im Unternehmen geworden. Dementsprechendes Augenmerk muss daher auf die damit verbundene Prüftätigkeit gelegt werden. Das erfordert spezielles Know-how von Prüfern und gezielte Vorbereitung der zu Prüfenden. Nutzen Sie die Gelegenheit, sich von Experten das notwendige Handwerkszeug zu holen. Nicht nur Lernen sondern Erfahrung sammeln steht dabei im Vordergrund. Praktische Übungen und Case Studies stellen sicher, dass Sie nicht nur theoretisches Wissen, sondern auch umsetzbare Erfahrung in die Praxis mitnehmen. Ein externer IT-Prüfer und ein Interner Revisor bieten Ihnen eine Sicht auf beide Seiten der Prüfung. Basis- und Advanced -Training bieten Ihnen die Gelegenheit, Ihren Weiterbildungsbedarf individuell zu berücksichtigen. Sie erfahren: wie Sie bei einer Prüfung der IT effizient und umfassend vorgehen. welche gesetzlichen Grundlagen es für die Prüfung gibt und was von Internen Revisoren und IT-Managern an rechtlichen Rahmenbedingungen zu beachten ist. welche Standards hilfreich sind und was COBIT, ISO und die Umsetzung der 8. EU-Richtlinie (EuroSox) für IT-Manager und Prüfer bedeuten. Nutzen Sie einen Bonus in der Höhe von EUR 250,- wenn Sie Basis- und Advanced-Training gemeinsam buchen. Melden Sie sich gleich an auf Ich freue mich, Sie auf dieser Veranstaltung persönlich zu begrüßen, Mag. Michael Ghezzo, Geschäftsführender Gesellschafter, Confare IT- und MarketingberatungsgmbH PS: Das Handwerkszeug für eine optimale Prüfung der IT nicht nur theoretisch Lernen, sondern praktisch Erfahren! Gleich Ihren Platz sichern auf Ihre Referenten Ing. Manfred Scholz, CISA, CISM ist Geschäftsführer der SEC4YOU Advanced IT-Audit Services Ges.m.b.H. Nach einer lehrreichen Tätigkeit im operativen Bereich der IT einer international tätigen Wirtschaftsprüfungsgesellschaft, wechselte er in den Fachbereich IT-Revision und übernahm zugleich auch die Aufgabe als interner Sicherheitsbeauftragter für Allgemeine IT-Sicherheit in der Sicherheitsorganisation des Unternehmens. Die erworbenen technischen Kenntnisse aus der operativen Tätigkeit in der IT waren eine hervorragende Grundlage für die Durchführung von IT-Prüfungs- und IT-Beratungsprojekten, welche er seit 2001 als externer Berater durchführt. Durch Mitarbeit in fachlichen Gremien und themenspezifischen Arbeitskreisen verfolgt er neue Entwicklungen und die gesetzlichen Rahmenbedingungen sehr genau mit, nützt diese Information aus erster Hand für seine Klienten und gibt diese als Vortragender auch gerne weiter. Mag. Bernhard Janda, CISA ist Interner Revisor bei der Steiermärkischen Krankenanstaltenges.m.b.H. Neben der Absolvierung des Studiums der Betriebswirtschaftslehre mit den Schwerpunkten Revisionsund Treuhandwesen sowie Controlling und Unternehmensführung an der Karl-Franzens-Universität Graz, sammelte er Erfahrungen im Bankenbereich sowie in der Betreuung und Mitgestaltung eines großen Online-Portals. Seit Anfang 2005 ist er schwerpunktmäßig mit der Durchführung von IT-Revisionen betraut. Durch die dabei gesammelten Erfahrungen, die intensive Beschäftigung mit neuen Entwicklungen und durch die Mitarbeit in themenspezifischen Arbeitskreisen verfolgt er den Wandel der Anforderungen legistischer und technologischer Natur.

3 IT-Revision - Basis IT-Revision für Wirtschaftsprüfer, Interne Revision & IT-Manager - Basistraining Ansatzpunkte und pragmatische Umsetzung 23. bis 25. März 2009 Ing. Manfred Scholz, CISA, CISM - SEC4YOU Advanced IT-Audit Services Ges.m.b.H., Zielgruppe: Wirtschaftsprüfer, Revisionsleiter, Mitarbeiter der Internen Revision, Mitarbeiter der IT, die sich über die Anforderungen informieren wollen. Ziele des Seminars: Ziel ist es, den Teilnehmern die notwendigen Kenntnisse zu vermitteln, damit diese die im Rahmen der Jahresabschlussprüfung notwendigen Prüfungshandlungen in der IT durchführen können. Ausgehend von den gesetzlichen Rahmenbedingungen und Standards werden die Teilnehmer schrittweise an die Thematik herangeführt und die Erkenntnisse anhand von Beispielen aus der Praxis vertieft. Dialog und Diskussion: Zu den einzelnen Themen ist ein intensiver Erfahrungsaustausch vorgesehen. Dabei werden Beispiele aus der Praxis und spezifische Problemstellungen mit den Teilnehmern diskutiert. 1. Tag Gesetzliche Rahmenbedingungen und Anforderungen Warum der Abschlussprüfer die IT in seine Prüfung mitein beziehen muss? Welche gesetzlichen Vorgaben existieren? BAO, UGB, DSG, URÄG 2008, etc. Was bedeutet der Begriff Ordnungsmäßigkeit für die IT? Die Bedeutung des Internen Kontrollsystems (IKS) in der IT. Welche Auswirkungen hat die 8. EU Richtlinie und die nationale Umsetzung auf die IT? Welchen Prüfungsrisiken ist der Abschlussprüfer ausgesetzt? Welche Verantwortung trägt der Abschlussprüfer? Grundlagen der IT-Revision Applikationsunabhängige bzw. -abhängige Kontrollen. Eingabe-, Ausgabe- und Verarbeitungskontrollen. Welche Vorteile bieten Standards für den Prüfer? Internationale Standards (COBIT, ISO/IEC 27001, FAIT, etc.). Nationale Standards und Normen. Die Fachgutachten der Kammer der Wirtschaftstreuhänder (KFS-DV1, KFS-DV2). Informationssicherheit bzw. IKS. Wie sind die Prüfungshandlungen zu dokumentieren? Die Planung einer effizienten Vorgangsweise Was sind die ersten Schritte? Überblick über IT-Infrastruktur und Organisation. Die Unterstützung der Internen Revision. Der Einsatz von COBIT. Organisation der IT Wie ist die IT beim Klienten organisiert? Wie werden Entscheidungen getroffen? Existieren die notwendigen IT-Prozesse? Entspricht die Dokumentation den Erwartungen? Sind die Verantwortlichkeiten klar definiert? Funktionstrennungen. Abhängigkeit von Schlüsselpersonen. Investitionsplanung und Budget. Entwicklungsstand und Zukunftsorientierung 2. Tag Risikomanagement Wie werden die IT-Risiken verwaltet? Ist die Erkennung, Bewertung und Behandlung von Risiken gewährleistet? Wer trifft die Entscheidungen? Sind die Vorgänge zur Behandlung von Risiken nachvollziehbar dokumentiert und prüfbar? Änderungswesen (Change Management) Welche Verfahren sind implementiert? Wie wird die Genehmigung und Durchführung von Änderungen durchgeführt? Wie wird mit Notfall-Änderungen verfahren? Sind die Änderungen nachvollziehbar? Outsourcing Was ist bei einer ausgelagerten IT zu beachten? Welche Vorgaben existieren im Unternehmen? Sind die Dienstleistungsvereinbarungen (SLA) ausreichend? Wie wird die Einhaltung überprüft (Monitoring, IKS)? Physische Sicherheit Sind die IT-Systeme angemessen gegen physische Bedrohungen geschützt? Welche Vorgaben existieren? Werden die Mindestanforderungen für IT-Standorte (Serverräume) erfüllt? Sind die Zutritte geregelt und nachvollziehbar? Ist eine Videoüberwachung von IT-Standorten notwendig bzw. zulässig? Systementwicklung und Wartung Welche Vorgaben existieren im Bereich der Entwicklung? Wie wird Qualitätssicherung betrieben? Ist die Durchführung von Test- und Freigabeverfahren implementiert? Wie wird die Einhaltung der gesetzlichen Anforderungen gewährleistet? Wird den Dokumentations- und Aufbewahrungspflichten nachgekommen?

4 IT-Revision für Wirtschaftsprüfer, Interne Revision & IT-Manager - Basistraining Ansatzpunkte und pragmatische Umsetzung 23. bis 25. März 2009 Ing. Manfred Scholz, CISA, CISM - SEC4YOU Advanced IT-Audit Services Ges.m.b.H., 3. Tag Verwaltung und Sicherheit von Daten Anforderungen des Geschäftes. Datensicherung und Wiederherstellung. Speicherung und Aufbewahrung. Entsorgung von Datenträgern. Verwaltung von Benutzerkonten Prozess der Benutzeranlage. Antrag, Genehmigung, Vergabe und Schließung. Änderungen der Berechtigungen bei Abteilungswechsel. Interne bzw. externe Benutzer. Dokumentations- und Aufbewahrungspflichten. Identifikation und Authentisierung von Benutzern Möglichkeiten der eindeutigen Identifikation eines Benutzers. Mindestens erforderliche Kontrollen (z.b. Passwortwechsel, Mindestlänge, etc.). Technische Umsetzung des Anmeldeprozesses auf IT-Systemen und Anwendungen. Case study: Zum Abschluss des Seminars ist die Durchführung einer IT- Revision im Rahmen einer fiktiven Jahresabschlussprüfung vorgesehen. Dabei haben die Teilnehmer die Möglichkeit, die erworbenen Kenntnisse im Rahmen einer Gruppenarbeit zu erproben. Die Vortragenden nehmen hierbei die Rolle eines Beobachters ein. Anschließend werden die Ergebnisse und Beobachtungen diskutiert. IT-Management Seminare Auf dem Weg zur Top-Führungskraft in der IT - Nicht Weiterbildung, sondern Enabling Strategie entwickeln und umsetzen Wirtschaftlichkeit sicherstellen Kosten und Leistung steuern Rechtliche und wirtschaftliche Risiken in der IT managen Kommunikation und Personalführung für IT-Chefs MENTORING: Erfahrene IT-Manager und Management-Profis stehen Ihnen auch nach den Trainings als Ansprechpartner zur Verfügung. Wir vernetzen Sie mit Top-Entscheidern aus unterschiedlichen Branchen, damit Sie auch nach dem erfolgreichen Absolvieren der Seminare Ihre Fragen praxisnah klären können. Erfahren Sie mehr unter

5 IT-Revision für Wirtschaftsprüfer, Interne Revision & IT-Manager Advanced Training Ansatzpunkte für weiterführende Prüfungshandlungen 11./ 12. Mai 2009 Ing. Manfred Scholz, CISA, CISM - SEC4YOU Advanced IT-Audit Services Ges.m.b.H., Zielgruppe: Wirtschaftsprüfer, Revisionsleiter, Mitarbeiter der Internen Revision, Mitarbeiter der IT, die sich über die Anforderungen informieren wollen. Ziele des Seminars: Ziel ist es, die Kenntnisse im Bereich der IT-Revision für die Jahresabschlussprüfung zu vertiefen und damit auch spezifischere IT-Bereiche mit hoher Bedeutung für die tägliche Praxis untersuchen zu können. Dialog und Diskussion: Zu den einzelnen Themen ist ein intensiver Erfahrungsaustausch vorgesehen. Dabei werden Beispiele aus der Praxis und spezifische Problemstellungen mit den Teilnehmern diskutiert. 1. Tag IT-Sicherheit Sicherheitspolicy und Richtlinien. Sicherheitsmanagementteam. Sicherheitsbewusstsein der Anwender. Umgang mit Sicherheitszwischenfällen (Security Incident Management). Virenschutz. Netzwerksicherheit. End User Computing (Risiken von Exceltabellen). Sicherheit mobiler Geräte (Notebook, Handy, PDA, etc.). Sensible Daten einfach und effektiv vor unbefugtem Zugriff schützen Vorbildfunktion des Prüfers. Möglichkeiten zur Verschlüsselung von Daten. Speicherung bzw. Übertragung (z. B. per ). Themen nach Wahl der Teilnehmer: Archivierung (Rechtliche Grundlagen, Risiken, Sicherheitsanforderungen, Ordnungsmäßigkeit) Risikofaktor Mensch (Awareness, Bewusstseinsbildung, Schulungsansätze) Prüfung von Web Applikationen (Risiken, Benutzermanagement, Sicherheitsaspekte) Nach Abstimmung unter den Seminarteilnehmern und in Abhängigkeit der zur Verfügung stehenden Zeit, wird/werden eines oder mehrere der angeführten Themen unter Berücksichtigung von Fragestellungen aus dem Teilnehmerkreis diskutiert. 2. Tag Administration und Protokollierung Werden die administrativen Tätigkeiten im Unternehmen überwacht und protokolliert? Problemkreis rund um die Aufbewahrungsdauer von Protokollen. Was ist zu protokollieren? Systemüberwachung versus Benutzerkontrolle. Anforderungen des Datenschutzgesetzes. Manipulationssichere Aufbewahrung der Protokolle. Was ist bei der Auswertung zu beachten? Anforderungen an eine digitale Beweissicherung. Business Continuity Management Grundlagen des betrieblichen Kontinuitätsmanagements. Verfügbare Standards und Normen. Anforderungen des Geschäfts. Risiken einer Geschäftsunterbrechung. Folgeschädenabschätzung. Was sind kritische IT-Ressourcen? Technische Möglichkeiten zur Vorsorge. Organisatorische Erfordernisse. Anforderungen an einen Kontinuitätsplan. Auslagerung von Daten an einen entfernten Ort? Warum regelmäßige Tests notwendig sind? Themen nach Wahl der Teilnehmer: Prüfung von Wireless-LAN-Netzwerken (Risiken, Sicherheit, Administration, Umsetzung) Prüfung von Fernwartungszugängen (Autorisierung, Sicherheit, technische Umsetzung) Einsatz von Prüfsoftware (Vorteile, Hinweise zur Anwendung) Nach Abstimmung unter den Seminarteilnehmern und in Abhängigkeit der zur Verfügung stehenden Zeit, wird/werden eines oder mehrere der angeführten Themen unter Berücksichtigung von Fragestellungen aus dem Teilnehmerkreis diskutiert. IT- Revision - Advanced

6 Anmeldung Ja, ich nehme an der IT-Revision Basistraining, März 2009, zum Preis von EUR 1.600,- (exkl. 20% MwSt) teil. [5041 A] Ja, ich nehme an der IT-Revision Advanced Training, 11. /12. Mai 2009, zum Preis von EUR 1.090,- (exkl. 20% MwSt) teil. [5041 B] Nutzen Sie einen Bonus in der Höhe von EUR 250,- wenn Sie Basis- und Advanced-Training buchen. Leider kann ich nicht teilnehmen und bestelle daher die Konferenzdokumentation zum Preis von EUR 150,- Teilnehmer 1: Name:... IT-Revision für Wirtschaftsprüfer Interne Revision & IT-Manager Ve r a n s ta lt u n g s o r t: Eu r o p l a z a Co n f e r e n c e Center A-1120 Wien, Am Europlatz 2/ Gebäude G Tel:+43 /1 / / w w w.europlaza.at Ja, ich nehme an der IT-Revision Basistraining, März 2009, zum Preis von EUR 1.600,- (exkl. 20% MwSt) teil. [5041 A] Ja, ich nehme an der IT-Revision Advanced Training, 11. /12. Mai 2009, zum Preis von EUR 1.090,- (exkl. 20% MwSt) teil. [5041 B] Nutzen Sie einen Bonus in der Höhe von EUR 250,- wenn Sie Basis- und Advanced-Training buchen. Leider kann ich nicht teilnehmen und bestelle daher die Konferenzdokumentation zum Preis von EUR 150,- Teilnehmer 2: Name:... Abteilung/Funktion:... Tel:... Fax: Sekretariat:... Wer entscheidet über Ihre Teilnahme? ich selbst oder Name/ Position:... Firma:... Mitarbeiterzahl: bis mehr als 300 Adresse: Datum, Unterschrift:... Bitte faxen Sie Ihre Anmeldung an +43/ 1/ /997 oder per an anmeldung@confare. at Für Rückfragen stehen wir Ihnen unter der Tel. +43/ 1/ gerne zur Verfügung Abteilung/Funktion:... Tel:... Fax: Sekretariat:... Wer entscheidet über Ihre Teilnahme? ich selbst oder Name/ Position:... Datum, Unterschrift: Die Teilnahmegebühr pro Person wird zuzüglich 20% MwSt. zur Verrechnung gebracht. Sie umfasst die Teilnahme an der jeweiligen Veranstaltung, die Verpflegung (Erfrischungsgetränke, Pausenverpflegung und Mittagessen, falls vorgesehen), sowie eine Dokumentation. Nach Eingang Ihrer Anmeldung erhalten Sie eine Anmeldebestätigung per und eine Rechnung per Post, zahlbar bis 14 Tage nach Erhalt ohne jeglichen Abzug. Einlass kann nur gewährt werden, wenn die Zahlung vorher bei uns eingetroffen ist oder am Veranstaltungstag schlüssig nachgewiesen werden kann. Bei der Anmeldung von drei oder mehr Personen aus einem Unternehmen, gewähren wir einen Rabatt von 10%. Programmänderungen, Verschiebungen oder Absagen aus wichtigem Anlass behalten wir uns vor. Druckfehler und Irrtümer bieten keinerlei Ansprüche. Eine allfällige Stornierung muss ausnahmslos schriftlich zumindest per erfolgen. Langt die Stornierung mindestens 14 Tage vor Veranstaltungsbeginn bei uns ein, so wird der Teilnahmebetrag zur Gänze refundiert. Bis 48 Stunden vor Veranstaltungsbeginn haben Sie bei Stornierung Anspruch auf Rückzahlung des halben Teilnahmebetrages. Bei Nichterscheinen oder Stornierung innerhalb von 48 Stunden vor Veranstaltungsbeginn, besteht keinerlei Anspruch auf Rückzahlung. Sie können jedoch bei Verhinderung der Teilnahme eine beliebige Ersatzperson aus Ihrem Unternehmen namhaft machen. Mit der Anmeldung erteilen Sie Ihre Zustimmung zur Übermittlung von Informationsmaterial per Fax und bzw. für Marketingzwecke an unsere Partner. Ihre Daten werden nur für Abrechnungszwecke, Statistik, Vertrieb, Marketing sowie zur Vorbereitung der Veranstaltung und im Zuge der Recherche für neue Themen verwendet. Sollten Sie dieser Einwilligung nicht zustimmen, so streichen Sie bitte die entsprechenden Satzteile. Diese Einwilligung kann jederzeit widerrufen werden.