Unternehmen auf dem Weg ins 21. Jhd

Transkript

1 BUSINESS ADVISORY SERVICE IT und Recht Einfluss von Gesetzen und Verordnungen auf IT ( Revision und Security) IT-ADVISORY Jimmy Heschl Februar 08 Unternehmen auf dem Weg ins 21. Jhd Ruf nach strengen gesetzlichen Regelungen Unternehmenskrisen Debatte um Corporate Governance Forderung nach integriertem internem Kontrollsystem Schlanke / dezentrale Unternehmenseinheiten verlangen systematische interne Kontrollsysteme! Jimmy Heschl 1

2 IT Governance Balance zwischen Risiko und Performance Risiko Integriertes Risiko Management Verbesserte Kontrolle Compliance Stabiler Wert und Vertrauen Prozess Transformation Prozess Verbesserung Performance Die Rechtssprechung zieht das Pendel in Richtung Risiko Wettbewerb und Marktdruck drücken das Pendel Richtung Performance IT Governance managt die Balance zwischen Risikomanagement und Performance- erfordernis. Jimmy Heschl 2 Warum (IT-) Audits noch immer nicht bestanden werden Unkenntnis der relevanten Regularien Bessere Ausbildung und Kenntnis der Prüfer Event getriebener Ansatz für f r Compliance (Siehe auch Information Systems Control Journal 5/2007) Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten Jimmy Heschl 3

3 Gartner s Regulations and Related Standards Hype Cycle Solvency II Jimmy Heschl 4 Governance und Ordnungsmäßigkeit - IT-nahe Gesetze 5

4 Gesetzestexte 190 UGB (ehemals HGB): Datenträger können k verwendet werden Inhaltsgleiche, vollständige, geordnete Wiedergabe (volle Aufbewahrungsfrist) 131 BAO: Zusammenhang zw. Buchungen und Belegen nachweisbar; Nachweis der Vollständigkeit und Richtigkeit Datenträger können k verwendet werden Elektronische Bereitstellung dauerhafter Wiedergaben (seit 1999); ; verschärft rft durch Betrugsbekämpfungsgesetz 2006 Jimmy Heschl 6 Aktiengesetz (AktG) Viele Bestimmungen, die zu Corporate Governance beitragen, zb 81 Quartalsberichte und Jahresberichte an den Aufsichtsrat 92 Ausschüsse sse für f r Jahresabschlusserstellung Vorstandsverantwortung für f r Corporate Governance wird derzeit in 82 subsummiert: Der Vorstand hat dafür r zu sorgen [...] dass ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht. Jimmy Heschl 7

5 GmbHG Bei großen GmbHs gelten die Bestimmungen des AktG über Aufsichtsräte te sinngemäß äß. Die Verantwortung der Geschäftsf ftsführer für f Corporate Governance wird in 22 subsummiert: Die Geschäftsf ftsführer haben dafür r zu sorgen [...] dass ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht. Jimmy Heschl 8 IT Compliance nahe Gesetze Datenschutzgesetz Fernabsatzgesetz Telekommunikationsgesetz Signaturgesetz, Signaturverordnung ecommerce Gesetz egovernment Gesetz Informationssicherheitsgesetz Emittenten Compliance Verordnung Achtung: Diverse Novellierungen im Gange Jimmy Heschl 9

6 DSG - Datensicherheit 14 (1/2) Maßnahmen zur Gewährleistung der Datensicherheit Schutz vor zufälliger oder unrechtmäß äßiger Zerstörung rung und vor Verlust ordnungsgemäß äße e Verwendung Daten Unbefugten nicht zugänglich Jimmy Heschl 10 DSG Datensicherheit 14 (2/2) Aufgabenverteilung - Funktionstrennung im Unternehmen Gültige Aufträge vorhanden (Dokumentation!) Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften) Physische Zugriffssicherheit Logische Zugriffssicherheit Absicherung der Geräte gegen unbefugte Inbetriebnahme Protokollierung der Verwendungsvorgänge nge Dokumentation über die bisher aufgezählten Punkte: Richtlinien/Auditing Auditing/Maßnahmen Jimmy Heschl 11

7 Fachgutachten 12 Fachgutachten - Verschiedene herausgebende Organisationen IFAC International Federation of Accountants ISA (ISA( Audit Considerations relating to Entities using Service Organizations) AICPA American Institute of CPAs SAS (zb SAS/70 - Reports on the Processing of Transactions by Service Organizations) PCAOB Public Company Accounting Oversight Board Auditing Standards KFS Kammer der WT - Fachsenat für Datenverarbeitung KFS/DV1 KFS/DV2 IDW Institut der Wirtschaftsprüfer fer PS331 (Serviceorganisationen( Serviceorganisationen) FAIT (Fachgutachten( für die Prüfung von Informationstechnologie) Jimmy Heschl 13

8 KFS/DV 1 - Grundsätze Allgemeine Anforderungen Unternehmer (Kaufmann) buchführungspflichtig hrungspflichtig und für f r Ordnungsmäß äßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren) Radierverbot Prüfspur progressiv und retrograd Verbot nachträglicher Schreibvorgänge Jimmy Heschl 14 Österreich KFS/DV 1 Dokumentation Verfahrensdokumentation Für r Programmentwicklungen, Change Management, Zukäufe ufe von SW (inkl. Customizing/Tabellen /Tabellen-Einstellungen) muss verfügbar sein: Anforderung/Aufgabenstellung Datensatzaufbau Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung Datenausgabe Datensicherung Verfügbare Programme Art, Inhalt und Umfang der durchgeführten hrten Tests Freigaben (Zeitpunkt, Unterschrift des Auftraggebers) Versionsmanagement Gilt auch für f r Datenbanken, Betriebssysteme, Netzwerkkomponenten, Eventuell können k Teile davon auch von externen Dritten zur Verfügung gestellt werden Jimmy Heschl 15

9 KFS/DV 1 - IKS Weitere Anforderungen Funktionstrennung (Fachabteilung/Entwickler/Admin Admin) Zugriffsberechtigungen auf allen Systemebenen Datensicherungen Schutz vor Sabotage, Missbrauch und Vernichtung Kontinuitätsmanagement tsmanagement Aufbewahrung sämtlicher s Dokumentationsbestandteile für f r 7 Jahre Jimmy Heschl 16 Überblick Fachgutachten KFS/DV 2 Fachgutachten Die Prüfung der IT im Rahmen von Abschlussprüfungen fungen Erarbeitet durch FS DV Gemeinsame Überarbeitung durch FS DV und FS HR Verabschiedet im November 2004 Jimmy Heschl 17

10 KFS/DV 2 - Grundsätze Prüfung der IT ist der der Prüfung des Internen Kontrollsystems Geprüft werden die IT Qualitätsmerkmale tsmerkmale der Effektivität, t, Vertraulichkeit, Verfügbarkeit, Integrität, t, Konformität t und Wartbarkeit (nicht Effizienz) Risikoorientierte Prüfung Prüfung von Stichproben Abhängig von Größ öße e und Komplexität t des Unternehmens und der eingesetzten Systeme Jimmy Heschl 18 KFS/DV 2 Grobüberblick über IT Prüfungen Gewinnung eines Überblicks über Systeme und Abläufe Prüfung der IT Prozesse (anwendungs( anwendungsunabhängige IT Kontrollen), orientiert zb an CobIT Prüfung der Anwendungen (anwendungsabh( anwendungsabhängigengige IT Kontrollen) Jimmy Heschl 19

11 KFS/DV 2 - Outsourcing Dienstleistungen deren Tätigkeiten T Auswirkungen auf die prüfung haben sind mit einzubeziehen Der Prüfer hat ausreichende Informationen einzuholen, um das das IKS beurteilen zu könnenk Prüfungsergebnisse externer Dritter können k herangezogen werden, wenn Qualitätskriterien tskriterien eingehalten sind Empfohlen ISA 402 Nicht ausreichend: ISO-Zertifizierung (zb( nach oder 20000) Jimmy Heschl 20 SAS 70 = ISA402 21

12 ISA 402 / SAS 70 Anforderungen an Prüfer Anzuwenden bei (Teil-) Outsourcing (der IT) Prüfer von RZ-Kunden müssenm Report nach SAS 70 / ISA 402 des RZ einholen oder selbst das RZ prüfen oder jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder Bestätigungsvermerk tigungsvermerk einschränken nken oder versagen Jimmy Heschl 22 Überblick SAS 70 (siehe auch ISA 402) Standard für f r die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld) Veröffentlichung der AICPA Gilt grundsätzlich für f r USA, aber auch bei Bilanzierung nach US GAAP Mittlerweile weltweiter De-Facto Standard für f r Prüfungen von und für f r Wirtschaftsprüfern fern bei (IT ) Service-Organisationen In wesentlichen Fragen inhaltsgleich zu ISA 402 der IFAC In Deutschland auch Standard PS 331 Achtung: für f Sarbanes Oxley vom PCAOB vorgeschrieben Auch in Österreich bei (fast) allen RZ in Umsetzung In Österreich in Richtlinie IWP-PE14 PE14 umgesetzt Jimmy Heschl 23

13 SAS 70 - Berichterstattung Standard-Text für f r Bestätigungsvermerk tigungsvermerk definiert Bei Typ II Report sind vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen Die Verantwortungen von Kunde und RZ sind klar abzugrenzen Bei wesentlichen Mängeln M ist der Bestätigungsvermerk tigungsvermerk zu ergänzen, einzuschränken nken oder zu versagen Jimmy Heschl 24 Würdigung von SAS 70 Reports Typ II Kritisch zu würdigen w und eventuell abstützen tzen Bei Zweifeln: Gespräche mit dem Prüfer des RZ Anforderung von Zusatzprüfungen durch den Prüfer des RZ Eventuell selbst Zusatzprüfungshandlungen Verweis auf SAS 70 Report unzulässig Jimmy Heschl 25

14 8. EU-Audit-Richtlinie (RL 2006/43/EG) Entwurf URÄG Überblick 8. EU-RL Veröffentlichung im EU-Amtsblatt am 9. Juni > > Beginn der 2-Jahres-Periode zur Umsetzung der Richtlinie in nationales Recht In Österreich durch GesRÄG 2005 und das A-QSG A teilweise bereits erfolgt, Entwurf URÄG G 2008 in Begutachtung Abschlussprüferrichtlinie wendet sich vor allem an Abschlussprüfer bzw. deren Aufsichtsbehörden Ziele Verbindliche Vorgabe internationaler Prüfstandards (ISA) Aktualisierung der Ausbildungsvoraussetzungen Festlegung von Berufsgrundsätzen für f r den Prüfer Verbesserung und Harmonisierung der Qualität Stärkung des Vertrauens in die Abschlussprüfung Jimmy Heschl 27

15 Relevante Bestimmungen für Unternehmen Unternehmen von öffentlichem Interesse Börsenotierte, Versicherungen, Banken Bildung eines Prüfungsausschusses (in Ö: : aus dem Aufsichtsrat), der Folgendes zu überwachen hat: Rechnungslegungsprozess Wirksamkeit IKS, interne Revision, Risikomanagementsystem Abschlussprüfung und Unabhängigkeit ngigkeit Prüfer Abschlussprüfer hat dem Prüfungsausschuss zu berichten über Wichtigste Erkenntnisse der Prüfung Wesentliche Schwächen chen des rechnungslegungsbezogenen IKS [ ] ] ein wirksames internes Kontrollsystem tragen dazu bei [ ][ Risiken zu begrenzen [ ] [ (Einleitung 8. EU-RL, 24) Jimmy Heschl 28 Ausprägung in Österreich Unternehmensrechtsänderungsgesetz nderungsgesetz (URÄG) 2008 Derzeit ist ein Entwurf in Begutachtung Verabschiedung noch 2007 In Kraft: bzw. Geschäftsjahre beginnend nach Unternehmen von öffentlichem Interesse (Betroffene) Kapitalmarktorientierte Unternehmen Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD-Staat notieren Versicherungen, Banken Sehr große e Unternehmen >175 Mio. EUR Umsatz oder > 87,5 Mio. EUR Bilanzsumme Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern Jimmy Heschl 29

16 Entwurf URÄG 2008 Pflichten des Prüfungsausschusses Prüfungsausschuss 92 AktG, 30g GmbHG, 24 GenG Pflichten u.a. Überwachung der Rechnungslegung Überwachung der Wirksamkeit des IKS - Schließt t interne Revision und RM-System mit ein Prüfung des Lageberichts und des Corporate Governance Berichts Jimmy Heschl 30 Zusammenfassung 8. EU-RL Prüfungsausschuss Überwacht IKS, RM-System, interne Revision Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System) Abschlussprüfer Prüft Einhaltung relevanter Gesetze (Lagebericht, Erstellung CG- Bericht,, IKS, ) Berichtet über Beanstandungen Vorstand / GF Verantwortet IKS, interne Revision, RM-System Stellt Lagebericht und CG-Bericht auf und unterschreibt Unternehmensbereiche Details nicht geregelt Jimmy Heschl 31

17 Auswirkungen 8. EU-RL 8. EU-RL wendet sich kaum direkt an Unternehmen, ABER Der Benchmark von SOX bezüglich IKS wird abfärben Über den Prüfungsausschuss Überwachungsaufgaben (IKS, Risikomanagement, etc.) Über den Prüfer Die Ausbildung von Prüfern greift IKS und Risikomanagement auf Der Prüfer muss über das IKS berichten Über die Verantwortlichkeiten des Vorstands Über den Markt Wie und woher bekommt der Vorstand / Prüfungsausschuss seine Informationen über das IKS? Jimmy Heschl EU-RL vs. SOX SOX 8. EU-RL Dokumentation der Abläufe Dokumentation der Kontrollen (Umfang) Dokumentation der Kontrolldurchführung Monitoring des IKS Durchführung eines Management Testings External Audit des IKS JA JA / meist separat (EL-C, Fraud-C, Trans.-C) JA (formalisiert, einheitlich JA JA / formalisiert JA / spezifische Pflichten JA JA / integrativ (nur: angemessen) JA (nur: angemessen) JA NEIN / informell (im Rahmen d. Monitoring) JA / allgemein Jimmy Heschl 33

18 Auswirkungen von Sarbanes-Oxley/ URÄG 2008 auf die IT Massive Auswirkungen Kontrollen müssen m dokumentiert und geprüft werden große e Teile der Kontrollen in der IT (oft 50 bis 70 %) Im Regelfall mehrere hundert Kontrollen Wesentliche Kontroll-Schwachstellen sind oft in der IT Unterscheidung in Anwendungskontrollen und General IT Controls CobiT als Standard für f r General IT Controls anerkannt Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute Jimmy Heschl 34 COSO (Internal Control - Integrated Framework) 1992 durch The Committee of Sponsoring Organizations of the Treadway Commission veröffentlicht Gemeinsame Sprache über Kontrollen, Definitionen, Modelle Unternehmensziele im Rahmen von COSO sind Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung) Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen) Compliance (Einhaltung von Gesetzen und Regulationen) Zielerreichung über die Ausgestaltung der Komponenten des Frameworks Control Environment (Kontrollumfeld) Risk Assessment (Risikobewertung) Control Activities (Kontrollaktivitäten) Information & Communication (Information & Kommunikation) Monitoring (Überwachung) Benchmark für interne Kontrollen und Verweis in SOX Weiterentwicklungen: September 2004: Enterprise Risk Management (COSO II) Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting Jimmy Heschl 35

19 Standards und Good-Practices Governance Basel II Solvency II AktG / GmbHG COSO Sarbanes Oxley COBIT 8. EU Audit Richtlinie Management Betrieb COBIT ValIT CMMI IT Planung Service Management Projektmanagement Risiko & Security Anwendungs-Entw. IT-Betrieb Qualitätsmanagement SixSigma ISO9000 V- Modell ISO BS PMI PRINCE2 ITIL ISO20000 Source: PINK Jimmy Heschl 36 CobiT 37

20 Unterstützung durch CobiT Unternehmensziele Unternehmens Erfordernisse Governance Erfordernisse erfordern Informations - Services beeinflussen CobiT setzen voraus Information Criteria IT Ziele IT Prozesse liefern Information IT Prozesse (mit Verantwortlichen) betreiben Anwendungen benötigt Infrastruktur und Personal Jimmy Heschl 38 Ausrichtung von IT-Prozessen an Unternehmensziele Finanzperspektive Kundenperspektive Interne Perspektive Lern- und Wachstumsperspektive Typische Unternehmensziele Referenz zu IT-Ziel 1 Marktanteil erhöhen Erträge erhöhen Rendite 24 4 Kapitalverwertung optimieren 14 5 Geschäftsrisiken managen Kunden- und Serviceorientierung erhöhen Kostengünstige Produkte und Services anbieten Verfügbarkeit von Services Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) Kostenoptimierung bei Serviceerbringung Automatisierung und Integration der Wertschöpfungskette Geschäftsprozess überarbeiten und verbessern Prozesskosten reduzieren Compliance mit Gesetzen und Regulativen Transparenz Compliance mit internen Regelungen Betriebliche- und Mitarbeiterproduktivität steigern Produkt-/Geschäftsinnovation Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9 Jimmy Heschl 39

21 Typische IT-Ziele 1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie 2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben 3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher 4 Optimiere die Verwendung von Information 5 Stelle IT-Agilität her Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt 6 werden. 7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme 8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur 9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen 10 Stelle die gegenseitig zufriedenstellenden Lieferantenbeziehungen sicher 11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse 12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher 13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher 14 Übernimm die Verantwortung für und schütze alle IT-Anlagen 15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten 16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb 17 Schütze die Erreichung der IT-Ziele 18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen 19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher 20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können 21 und ihre Wiederherstellung gewährleistet ist 22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist 23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher 24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg 25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um 26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur 27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung 28 zeigt Jimmy Heschl 40 CobiT IT-Prozesse Monitor and Evaluate ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance Monitor and Evaluate INFORMATION Efficiency Effectiveness Confidentiality Integrity Availability Compliance Reliability IT RESSOURCES Plan and Organise Plan and Organise PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects Applications Information Infrastructure People Deliver and Support DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Deliver and Support Acquire and Implement Acquire and Implement AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes Jimmy Heschl 41

22 Bestandteile von Prozessen (1/3) Prozessbeschreibung Domäne und Information-Criteria IT Ziele Prozessziele wichtige Aktivitäten wichtige Metriken IT Governance & IT Resources Jimmy Heschl 42 Bestandteile von Prozessen (2/3) RACI-Chart Chart zur Darstellung der Verantwortlichkeiten, zb Inputs und Outputs, zb Jimmy Heschl 43

23 Bestandteile von Prozessen (3/3) Messgröß ößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zb Jimmy Heschl 44 Gartner s Advise Combine CobiT and ITIL for Powerful IT Governance Strong framework tools are essential for ensuring IT resources are a aligned with an enterprise s s business objectives, and that services and information meet quality, fiduciary and security needs. Bottom Line: CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT governance, control and best-practice framework in IT service management. Enterprises that want to put their ITIL program into the context of a wider control and governance framework should use CobiT. Source: Technical Guidelines, TG , 1849, S.Mingay,, S. Bittinger Jimmy Heschl 45

24 Forrester s Advise Establish frameworks to ease Governance Implementation First CobiT for overall governance Then ITIL for service delivery and management Then ISO for information security Balanced Scorecard for measurement and communication Source: Helping Business Thrive On Technology Change, A Road Map To Comprehensive IT Governance, Craig Symons Jimmy Heschl 46 Jimmy s Advise Download der CobiT Publikationen und der anderen Good- Practices Hirn einschalten und die Dokumente lesen (oder sich schulen lassen) Religionskriege beenden Die Stakeholder ins Boot holen Ein klares Bild vom zukünftigen Status erarbeiten Wo wollen wir hin? Wo sollen wir hin? Festlegung der Umsetzung und der Messungen Wie wissen wir, dass wir dort sind? Do it! Verbessern des bereits getanen Beweisen Sie Ihren Chefs und Stakeholdern, dass Sie gute Arbeit geleistet haben. Jimmy Heschl 47

25 Compliance? Jimmy Heschl 48 Kontakt Jimmy Heschl Information Risk Management KPMG Wien +43 (1) Jimmy Heschl 49