Regulatorische Anforderungen und aktuelle Lösungskonzepte

Transkript

1 Sichere Geschäftsprozesse Regulatorische Anforderungen und aktuelle Lösungskonzepte Dortmund, 8. November 2007 Matthias Struck Advisory Services

2 Agenda 1 Rechtliche & regulatorische Anforderungen 2 Wesentliche Handlungsfelder & aktuelle Lösungskonzepte 3 Corporate Control & Compliance als Element einer leistungsfähigen IT Governance beispielhaftes Vorgehensmodell 4 Fazit 2

3 1. Rechtliche & regulatorische Anforderungen Überblick Der rechtliche & regulatorische Dschungel mit IT-Bezug zur Absicherung der Geschäftsprozesse (Auszug): J-SOX PCAOB EGG KonTraG BMF BDSG ISF CobiT IT-GSHB TKG TDDSG EGG HGB ISO/IEC Gruppe TDG ITIL COSO StGB KWG AktG GoBS UrhG GDPdU SigG Basel II Sarbanes Oxley Act 3

4 1. Rechtliche & regulatorische Anforderungen Klassifizierung der Vorgaben 1. Gesetzlich Übereinstimmung mit Gesetzen national: HGB, AktG, KonTraG, KWG, BDSG, EGG, SigG,... international: Sarbanes Oxley Act, J-SOX, Basel II, Aufsichtsrechtlich Übereinstimmung mit Regularien & de-facto Standards national: CoBS, IT-Grundschutzhandbuch h db h international: ISO Serie, CoBS, CobiT, ITIL 3. Interne Vorschriften z.b. IT-Sicherheitsvorgaben basieren zumeist auf IT-Sicherheitsstandards 4

5 1. Rechtliche & regulatorische Anforderungen IT-relevante Anforderungen für den Abschlussprüfer (Auswahl) Abgabenordnung (AO) insbesondere 140/141 (Buchführungs-/Aufzeichnungspflichten), 143/144 (Aufzeichnung Wareneingang/-ausgang), (allg. Anforderungen und Ordnungsvorschriften zur Buchführung und Aufbewahrung) Handelsgesetzbuch (HGB) insbesondere 238 (Buchführungspflicht), 239 (Führung der Handelsbücher, Radierverbot), 257 (Aufbewahrungspflicht) 317 bzw. 321 HGB über den Umfang der Prüfung und der Berichterstattung 91 Abs. 2 Aktiengesetz (KonTraG) Bundesdatenschutzgesetz (BDSG) vom (insb. Anlage 1 zu 9) BMF-Schreiben IV A 8 S /95 Grundsätze ordnungmäßiger DV-gestützter Buchführungssysteme (GoBS) als Erweiterungen der GoB vom des Bundesministerium der Finanzen IDW-Prüfungsstandards (z.b. PS 330, 340, 880, FAIT 1-3, einleitend PS 260: Das interne Kontrollsystem im Rahmen der Abschlussprüfung) Hinweis: i Prüfung der IT ist integraler Bestandteil Kernaussage: Der Abschlussprüfer hat das ITgestützte Rechnungslegungssystem daraufhin zu beurteilen, ob es den gesetzlichen Anforderungen, insbesondere an die Ordnungsmäßigkeit und Sicherheit, entspricht. 5

6 1. Rechtliche & regulatorische Anforderungen Sarbanes-Oxley-Act (Überblick) 6 Wesentliche Anforderungen Erlass von Richtlinien und Regelungen durch die Securities and Exchange Commission (SEC) und das Public Company Accounting Oversight Board (PCAOB) Gültig für alle SEC-gelisteten Gesellschaften mit Sitz in USA anzuwenden für Jahresabschluss nach dem mit Sitz in Europa anzuwenden für Jahresabschluss nach dem Fokus: Funktionstüchtigkeit des Internen Kontrollsystems (Corporate Governance) und persönliche Verantwortung des Managements Angepasster risikoorientierter PCAOB Auditing Standard Nr. 5 (Mai 2007) Ef Erfahrungswerte zur Ressourcenreduktion Keine Bewertung des Management Assesssment durch den Abschlussprüfer Auswirkungen: Keine grundlegenden Methodik- änderungen, sondern im wesentlichen Schärfung und Konkretisierung bestehender Mechanismen (konsequenter Risk-Based-Approach) Management ist verantwortlich für die Einrichtung eines funktionsfähigen adäquaten Internen Kontrollsystems im Finanz- und Rechnungswesen auf Basis eines anerkannten Regelwerkes Der CEO und CFO müssen halbjährlich die Funktionsfähigkeit des Internen Kontrollsystems beurteilen & schriftlich bestätigen Ein Report über die Ordnungsmäßigkeit und Funktionsfähigkeit der Internen Kontrollen muss erstellt werden Der Abschlussprüfer muss auch die Ordnungsmäßigkeit und Funktionsfähigkeit des Internen Kontrollsystems prüfen und bestätigen. CEO und CFO (auch Prüfer) sind persönlich haftbar bzgl. der Richtigkeit der Aussage

7 1. Rechtliche & regulatorische Anforderungen J-SOX J-SOX ist der inoffizielle Name für die erweiterten Informations- und Veröffentlichungspflichten des Financial Instruments Exchange Law Verpflichtend für alle Unternehmen, die in Japan notiert sind Voraussichtlich sind japanische Unternehmen davon betroffen Ähnlich wie die Sarbanes-Oxley Sections 302 und 404 Tritt in Kraft für das Geschäftsjahr beginnend am 1. April 2008, größtenteils wird es zum Stichtag 31. März 2009 angewendet Schlüsselelemente: Risikobasierter Top-down Ansatz Nur Mängel und grundlegende Schwächen im Fokus Meinung des Prüfers zum Management Report It Integrierte t Audit Adit Koordination zwischen unabhängigen Prüfern, Unternehmensrevision und internen Prüfern 7

9 2. Wesentliche Handlungsfelder & aktuelle Lösungskonzepte IT-relevante Handlungsfelder zur Absicherung der Geschäftsprozesse (Auswahl) Rechtliche & regulatorische Anforderungen (Compliance) Wirkungsvolle Systematisches ti IT-Sicherheitsvorgaben Zugriffsmanagement Geschäftsprozess Kontrollorientierte IT-Governance Ganzheitliches Risikomanagement Unternehmensfunktionen und -standorte 9

10 2. Wesentliche Handlungsfelder & aktuelle Lösungskonzepte Ganzheitliches Risikomanagement Integration von Governance, Risk and Compliance Roadmap zur erfolgreichen Integration Integration Strategie-, t Ziel-und Aufgabendefinition fi iti einer Risikomanagement-Funktion zur unternehmensweiten Governance Integration der unternehmensweiten Risikomanagement- und Compliance- Prozesse Einheitliche Methodik für die Identifikation, Bewertung, Steuerung und udüberwachung acugder Kernrisiken Realisierung von Performance- Potenzialen Kom mplexitätsg grad Ausrichtung Identifizierung der Risikomanagement-Funktionen Transparenz über die Ziele und Aufgaben der Risikomanagement- Funktionen Verständnis der Risikomanagementund Compliance-Prozesse im Unternehmen Koordination Koordination der unternehmensweiten Risikomanagement- und Compliance- Prozesse Abstimmung der Strategie, Ziele und Aufgaben der einzelnen Risikomanagement-Funktionen Identifizierung i redundanter d Überwachungsaktivitäten Wert 10

11 2. Wesentliche Handlungsfelder & aktuelle Lösungskonzepte Ganzheitliches Risikomanagement Lösungsansatz SAP GRC Enterprise Risk Management Access Control Global Trade Services SAP GRC Environment, Health & Safety Process Control Vorteile in Bezug auf das Risiko Management: Integriertes Chancen-Risiko-Management Identifikation von Risiken auf allen Unternehmensebenen Priorisierung von regulierenden Maßnahmen Aggregiertes Reporting in BI-Reports und Dashboards 11

12 2. Wesentliche Handlungsfelder & aktuelle Lösungskonzepte Kontrollorientierte IT Governance Lösungsansatz: CobIT als Kontrollmodell der IT Anerkannter internationaler ti Standard d von IT- Kontrollzielen (Hersteller- und Beraterunabhängig) Ursprung im Prüfungsumfeld, entwickelt von der ISACA Basiert auf dem COSO-Würfel als anerkannte Leitlinie zur Etablierung eines Internen Kontrollsystems Rahmenwerk für ein IT Kontrollumfeld (Policies, Methoden, Verfahren, Kontrollziele, Reifegrade) Struktur: 4 Prozessgruppen, 34 Prozessen Ziel: Ausrichtung der IT Ressourcen an den Unternehmenszielen und Einhaltung der Anforderungen an Qualität, Effizienz, Effektivität und Sicherheit Verlinkt/Verzahnung mit anderen Standards (z.b. ITIL, COSO) International Leading Practice Bei der Einführung von IT Kontroll-/Prozessmodellen Bei der Umsetzung von IT Governance, IT Audit und IT Benchmarking 12

13 2. Wesentliche Handlungsfelder & aktuelle Lösungskonzepte Wirkungsvolle IT-Sicherheitsvorgaben Übersicht IT-Sicherheitsstandards BSI Grundschutzhandbuch technikorientiert ISO/IEC 27001/27002 themenorientiert ITIL, CobIT prozessorientiert Die Ableitung in IT-Sicherheitsvorgaben der Unternehmen dient der Festlegung von verbindlichen Vorgaben für die Sicherheit von Informationsressourcen zum angemessenen Schutz der Ressourcen, der Sensibilisierung für IT-Sicherheit, Erläuterung von grundlegenden Sicherheitsprinzipien h it i i i und der Einhaltung der Compliance-Anforderungen. 13

14 2. Wesentliche Handlungsfelder & aktuelle Lösungskonzepte Wirkungsvolle IT-Sicherheitsvorgaben Lösungsansatz: ISO/IEC 27001/27002 Die International Standards Organization (ISO) übernahm den British Standard 7799 als Basis für einen Standard zur Informationssicherheit. Wesentliche Änderungen im ISO/IEC 27001/27002 eigenes Kapitel Risikobewertung (adressiert mit der Thematisierung des Risikomanagements verstärkt Basel II), Aktualisierung der Sicherheitsmaßnahmen (z.b. Personelle Sicherheit) sowie neue Struktur der Controls Controls zur Internationalisierung und Vereinheitlichung Umfasst 11 Themenbereiche: 1. Sicherheitspolitik 2. Organisation der Sicherheit 3. Verwaltung und Kontrolle der Betriebswerte 4. Personelle Sicherheit 5. Physische und umgebungsbezogene Sicherheit 6. Zugriffskontrolle 7. Kommunikations- und Betriebsmanagement 8. Erwerb, Entwicklung und Betrieb von Informationssystemen 9 Ereigniskontrolle (Incident Management) und Überwachung 10. Fortbestand der Unternehmenstätigkeit 11. Erfüllung der Verpflichtungen Insgesamt 133 Kontrollziele 14

15 2. Wesentliche Handlungsfelder & aktuelle Lösungskonzepte Systematisches Zugriffsmanagement Aktuelle Herausforderungen Etablierung einer dauerhaften angemessenen Funktionstrennung (SoD) ohne kostenintensive, manuelle Bereinigungsaktionen Gewährleistung einer jederzeit auditierbaren Benutzer- und Berechtigungsadministration i i t ohne ineffizienten Verfahren und nicht nachvollziehbaren Vorgängen Kontrollierter Einsatz von Superusern ohne organisatorisch i aufwendigen Verfahren für die Verwendung von Notfallusern Harmonie zwischen Business und IT in Berechtigungsfragen 15 Quelle: SAP AG

16 2. Wesentliche Handlungsfelder & aktuelle Lösungskonzepte Systematisches Zugriffsmanagement Lösung SAP GRC Access Control Bestandteil der SAP Lösungen für Governance, Risk und Compliance (GRC) Ziel: Automatisierte und unternehmensweite Zugriffs- und Berechtigungssteuerung 16 Quelle: SAP AG

17 2. Wesentliche Handlungsfelder & aktuelle Lösungskonzepte Systematisches Zugriffsmanagement Lösung: Approva BizRights Audit Insights Security Insights Process Insights Vorteile: Authorizations User Activity Access Management Configuration Management Procure-to-Pay Order-to-Cash Financial i Close Payroll Systemunabhängig Detaillierte Reporting- Möglichkeiten Rules Engine Extraction Engine BizRights Platform Business Reporting Engine Workflow Approval Engine Prozesskontrollen- Funktionalität verfügbar Vordefinierte Regeln verfügbar BizRights BizRights Adapters SDK BizRights SDK SAP Oracle PeopleSoft Hyperion Portals Identity Management Documentation Tools Legacy Apps 17

19 3. Corporate Control & Compliance als Element einer leistungsfähigen g IT Governance beispielhaftes Vorgehensmodell 1 Identifikation IT-relevanter Compliance- Anforderungen 2 3 Etablierung Ableitung eines erforderlicher Corporate Prozesse & Control Kontrollen Layers Vorgaben) Analyse der Auswirkungen der Anforderungen bzgl. IT-Relevanz Priorisierung ( Muss, Kann Anforderungen) Regelmäßiges Update 4 Dauerhafte Sicherstellun g der Compliance Zusammenstellung Definition von Prozessen Design konkreter Integration der individuell relevanter und Kontrollbereichen Prozesse und Kontrollen Anforderungen (rechtlich, (z.b. Benutzeradministration) Soll-/Ist-Analyse regulatorisch, de-facto Einbindung anerkannter Standards, interne Entwicklung von Standards und Lösungen Compliance- Anforderungen, Prozesse und Kontrollen in das Risikomanagement inkl. Handlungsclustern (z.b. (z.b. SAP GRC, CobiT) Operationalisierung i logischer Zugriffsschutz) Berücksichtigung von Bestätigung Konformität Festlegung grober Effizienzpotenzialen mit relevanten Umsetzungsplan (z.b. (Automatisierung, Anforderungen Projektplan) Vereinheitlichung) Regelmäßige Bewertung des Reifegrades und Prüfung durch Dritte Zielsetzung: Sicherstellung der Compliance durch leistungsstarke Prozesse und Kontrollen, die durch eine risikoorientierte Methodik gesteuert werden. 19

21 Fazit Die Vielzahl der bestehenden rechtlichen und regulatorischen Anforderungen sind hinsichtlich der individuellen Relevanz zu untersuchen, zu konkretisieren und zu operationalisieren. Die Gestaltung und dauerhafte Gewährleistung von sicheren Geschäftsprozessen bedingt eine Integration der unternehmensweiten Risikomanagement- und Compliance-Prozesse nur so kann eine leistungsstarke t Governance umgesetzt t werden, die den Spagat zwischen Performance und Compliance meistert. Zur Überwachung der Performance und Compliance als Aufgabe der IT Governance ist ein wirksames IT-Kontrollumfeld ( Corporate Control Layer ) zu etablieren von systematischen Methoden, über verbindliche Vorgaben bis hin zu leistungsfähigen automatisierten Lösungen und Kontrollen (Beispiel: Access Control). 21

22 Vielen Dank für Ihre Aufmerksamkeit. Für Fragen und Anregungen stehen wir Ihnen gerne jederzeit zur Verfügung. Matthias Struck Senior Manager Advisory Services Ernst & Young AG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Graf-Adolf-Platz 15 Telefon (+49) Düsseldorf Telefax (+49) Mobil (+49)