EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

Größe: px

Ab Seite anzeigen:

Download "EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009"

Kajetan Biermann
vor 8 Jahren
Abrufe

1 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009

2 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung - Pragmatischer Weg Baseline Kontrollen 2

zwischen Finanzen und IT Umsetzung Lernbuchweg

3 Telekom Austria TA AG befasst sich seit langem mit diversen Compliance-Anforderungen Sarbanes-Oxley Act (SOX) Gilt für alle Firmen, die auf der NYSE notiert sind und verlangt: Vollständigkeit und ichtigkeit von Bilanzen Ein effizientes internes Kontrollsystem für finanzielles eporting Überprüfung der Wirksamkeit des internen Kontroll-Systems 3

verlangt: Vollständigkeit und ichtigkeit von Bilanzen Ein effizientes internes

4 Firmen, die von Compliance betroffen sind, wollen: Die Vorgaben erfüllen Den Aufwand dafür minimieren Internen Nutzen generieren Bei mehreren Compliances die Arbeit nur ein Mal machen müssen 4

5 Zwei zentrale Fragen stehen im Fokus jeder von Compliance betroffenen Firma Was genau muss ich tun? Wie setze ich es ressourcenschonend um? 5

6 Das Unternehmensrechtsänderungsgesetz (UÄG) legt nur die Zielsetzung fest und regelt keine Details dazu Source: Günter eismoser (Ernst&Young) IT-Compliance in Zeiten von DSG2008 und 8. EU-L 6

7 Wer bestimmt den Umfang der Implementierung? Gesetzgeber/ egulator Erteilt generelle Verpflichtung Was und Wie sollte jede betroffene Firma im ahmen von isiko-management und Implementierung von IKS selbst entscheiden. Unternehmen Setzt ein isiko Management ein. Entscheidet auch unter Berücksichtigung der Wirtschaftlichkeit über interne Kontrollen. Kann einen Berater nehmen, der aufgrund seines Wissens und Erfahrung aus ähnlichen Projekten einige Best Practice atschläge erteilt. Externer Auditor/ Wirtschafts- Prüfer Nutzt meistens für Was eigene Audit Objectives und branchenspezifische Prüfungsvorschriften: - in Österreich Fachgutachten KFS DV1 und DV2 - in Deutschland IDW S FAIT1 und IDW PS 330 7

Unternehmen Setzt ein isiko Management ein. Entscheidet auch unter Berücksichtigung der Wirtschaftlichkeit über interne Kontrollen.

8 Compliance ist meistens sehr vage formuliert und legt nicht genau fest, was und wie es zu machen ist 1. Compliance beschreibt nicht genau, was gemacht werden muss Ein gutes Framework (CobiT, ITIL, ISO27001) kann Orientierungshilfe leisten 2. Compliance sagt nicht genau, wie es gemacht werden muss Diese Aufgabe muss vom Unternehmen direkt gelöst werden. Analyse der Case Studies von anderen Firmen kann am Anfang hilfreich sein 8

9 UÄG-Implementierung: Vorgehensweise 1 der Lernbuch Weg Prüfungssauschuss berufen isikomanagement im Unternehmen etablieren Internes Kontrollsystem aufbauen Unternehmen als Ganzes Fachbereiche 1. Die wichtigen echnungslegungsprozesse festlegen 2. isikoanalyse in diesen Prozessen durchführen 3. Kontrollen für die Minimierung der gefundenen isiken festlegen 4. IT-Systeme, die echnungslegungsprozesse unterstützen, herausfinden IT 1. Die wichtigen IT-Prozesse festlegen 2. isikoanalyse in diesen Prozessen durchführen 3. Kontrollen für die Minimierung der gefundenen isiken festlegen 9

isikoanalyse in diesen Prozessen durchführen 3. Kontrollen für die Minimierung der gefundenen isiken festlegen 4.

10 UÄG-Implementierung: Vorgehensweise 2 der pragmatische Weg (1/2) 1. Was ist für das Erfüllen von UÄG am wichtigsten? Daten im echnungslegungsprozess müssen vollständig und richtig sein. Diese Daten dürfen also nicht verfälscht werden -> Die Integrität dieser Daten ist entscheidend! 2. Sind die IT-isiken in Unternehmen sehr unterschiedlich? Meistens nicht. Die wichtigsten IT-Prozesse (und auch Kontrollziele) sind im CobiT zusammengefasst. Diese Prozesse sind in jedem IT Betrieb anwendbar. 10

Diese Daten dürfen also nicht verfälscht werden -> Die Integrität dieser Daten ist entscheidend! 2.

11 CobiT ist eine gute Grundlage für die Etablierung von IT Compliance und IT Governance Wirtschaftlichkeit Wirksamkeit Vertraulichkeit Integrität Verfügbarkeit Compliance Verlässlichkeit 11

12 UÄG-Implementierung: Vorgehensweise 2 der pragmatische Weg (2/2) Prüfungssauschuss berufen isikomanagement im Unternehmen etablieren Internes Kontrollsystem aufbauen Unternehmen als Ganzes Fachbereiche 1. Die wichtigen echnungslegungsprozesse festlegen 2. isikoanalyse in diesen Prozessen durchführen 3. Kontrollen für die Minimierung der gefundenen isiken festlegen 4. IT-Systeme, die echnungslegungsprozesse unterstützen, herausfinden IT 1. Aus CobiT diejenigen Kontrollziele auswählen, die sich mit der Integrität der Daten befassen 2. Von diesen Kontrollzielen die Kontrollen ableiten 3. Diese Kontrollen für alle in Frage kommenden IT- Systemen einsetzen 12

Kontrollen für die Minimierung der gefundenen isiken festlegen 4. IT-Systeme, die echnungslegungsprozesse unterstützen, herausfinden IT 1.

13 IT General Controls bei Telekom Austria basieren auf CobiT und stellen die Basis für die Kernprozesse Finanzen Kernprozesse des Unternehmens - gemäß COSO Framework Personal Einkauf Verkauf Produktion Wichtige Punkte an der Schnittstell e zwischen Kernprozess en und IT Application Controls Zugriffschutz SOXrelevant systems Change management Zutrittsschutz IT-Prozesse des Unternehmens - gemäß CobiT Framework Backup Malware Netzwerksicherheit 13

Schnittstell e zwischen Kernprozess en und IT Application Controls Zugriffschutz SOXrelevant systems Change

14 Baseline Kontrollen schnelle Implementierung der notwendigsten IT-Kontrollen Baseline Kontrollen basieren auf CobiT und ITIL und beinhalten die für IT-Compliance notwendigsten Kontrollen und Prozesse. Baseline Kontrollen regeln: Zutrittskontrolle Zugriffsschutz Netzwerksicherheit Malware-Schutz Change Management Backup 14

IT-Compliance notwendigsten Kontrollen und Prozesse.

15 Baseline Kontrollen Umfang (1/2) Zutrittskontrolle - Spezielle äume für Server. Sichere Gebäudekonstruktion. - Der Zutritt zu diesen äumen ist restriktiv geregelt. - Der Serverraum verfügt über eine Feueralarmanlage, Klimaanlage und ev. eine USV. Zugriffschutz - Der Zugriff wird auf Basis des dienstlichen Bedarfs vergeben - Trennung der Funktionen in kritischen Bereichen muss beachtet werden - Für die Applikationen gibt es einen Inhaber, der den Zugriff genehmigt - Ein klar definierter Genehmigungsprozess ist etabliert - egelmäßige Überprüfung der dienstlichen Notwendigkeit - Entzug der Berechtigungen bei Austritt und längerer Untätigkeit - Prozess für Zurücksetzen der Passwörter 15

Zugriffschutz - Der Zugriff wird auf Basis des dienstlichen Bedarfs vergeben - Trennung der Funktionen in kritischen Bereichen muss beachtet werden - Für die Applikationen

16 Baseline Kontrollen Umfang (2/2) Change Management - Für die Inbetriebnahme der Software-Änderungen ist ein Genehmigungsprozess definiert Netzwerksicherheit - Schutz des Firmennetzes vor Angriffen durch Firewalls und IDS/IPS - Prozess für die Einrichtung der FW-ules und klar festgelegten ollen Malware-Schutz - Ein Schutz gegen Viren, Trojaner, Würmern, Spionage-SW, usw.. - Sicherstellung der Effektivität dieses Schutzes Aktualität der Virensignaturen Backup - Eine regelmäßige Sicherung der Daten findet statt - Die Sicherungsmedien sollen zumindest nicht in dem gleichen Brandabschnitt gelagert werden - ecovery der Backup-Daten wird periodisch getestet 16

Viren, Trojaner, Würmern, Spionage-SW, usw.

17 Baseline Kontrollen - einfach und schnell Euro-Sox fit! Einfache, schnelle und effiziente Erfüllung der gesetzlichen Anforderungen Geringer essourcenbedarf, pragmatische Umsetzung Etablierung der grundlegenden Sicherheitsmaßnahmen Telekom Austria bietet Beratung dazu - auf Basis eigener, langjährigen Erfahrung und zertifizierten Mitarbeitern (CISA, CISSP) 17

essourcenbedarf, pragmatische Umsetzung Etablierung der grundlegenden

18 Vielen Dank! Mag. CISA, CISSP Telekom Austria TA AG Leiter Information Security +43 (0)

Ähnliche Dokumente

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?