Risiko- und Compliancemanagement mit

Größe: px

Ab Seite anzeigen:

Download "Risiko- und Compliancemanagement mit"

Nora Kappel
vor 8 Jahren
Abrufe

1 Risiko- und Compliancemanagement mit avedos a Mag. Samuel Brandstaetter Geschäftsführer, CEO avedos business solutions gmbh Mobil: samuel.brandstaetter@avedos.com

2 avedos - Zielsetzung Risiko ist die Bugwelle des Erfolges by Carl Amery Gregor Mendel-Straße 58 A-1190 Wien Tel Fax office@avedos.com

3 avedos - Das Unternehmen avedos Background IT- und Organisationsberatung Management Consulting avedos Geschäftsmodell avedos : Methodenentwickler und Softwarehersteller Consulting-Partner komplettieren die Lösung avedos Kunden Mittel- bis Großkundenfokus Kein Branchenfokus Externe / Interne Anforderungen Risiken zu kennen und zu reporten avedos Zielsetzung Wir befähigen unsere Kunden zum aktiven Umgang mit Risiko und Chancen!

4 Agenda Problemstellung in Compliance- / Zertifizierungs-Aktivitäten Die IT-Prozesse für Transparenz aus der Vogelperspektive Lösungskonzept: Integrated Risk & Compliance Management Ziel Bezogen auf Risikomanagement, Compliance Management und Certification Zusammenhänge erläutern Schnittstellen zw. Business und IT-Compliance aufzeigen Wege darstellen, um mit den Anforderungen umzugehen

5 Problem: Hohe Informationsanforderungen benötigen hohen Ressourceneinsatz Wie können wir objektiv nachweisen, dass wir alles Nötige unternehmen um abgesichert zu sein? Welchen Risiken unterliegen wir? Auf welche Probleme müssen wir vorbereitet sein? Wie können wir mit unsere Budgets möglichst sinnbringend investieren oder Mittel einsparen? Wie kann der Erfüllungsgrad von Normen und Gesetzen erhoben und dargestellt werden? Auf Basis welcher Information sollen Maßnahmenpakete priorisiert werden? Wo haben wir Risiken, aber keine adäquaten Maßnahmen? Wie kann ein Handlungsbedarf bezogen auf Normen festgestellt werden? Welche Informationen brauchen die Wirtschaftsprüfer von mir als IT-Leiter/CIO? Wie kann überprüft werden, ob interne Policies und Regeln gelebt werden?

6 Problemstellung aus der Vogelperspektive Aus der Vogelperspektive betrachtet ergeben sich daraus 3 essenzielle Prozesse: 3 generelle Zielsetzungen die daraus abzuleiten sind: 1. Vergleichen (auf Basis von Best-Practice Ansätzen) 2. Erkennen (von Risiken und Maßnahmen zur Steuerung) 3. Bestätigen (des Umgangs mit Risiken)

7 Probleme der Teilprozesse Compliance Management Risk Management Certification Aufwand Hoher Aufwand für interne/externe Audits Aufwand je nach Vorgehensweise unterschiedlich Hoher Dokumentationsbedarf, Aufwand daher eher hoch Inhalt Nur bedingt für das Unternehmen zugeschnitten Spezifisch für das Unternehmen entwickelte Modelle. Meist proprietäre Risikokataloge. Nur bedingt auf das Unternehmen zugeschnitten, Standard- Zertifizierungen. Output / interner Mehrwert Wenn Inhalt nicht auf Unternehmen angepasst: geringer interner Output Hoher Mehrwert im Unternehmen (mehr Informationen als Entscheidungsbasis) Offizielles Siegel Sonstige Anmerkungen Unternehmen MUSS Aktivitäten durchführen (zb durch Wirtschafsprüfer) Aktivitäten laufen meist parallel zu Compliance, Integration ist nicht ausreichend gegeben Überschneidungen zwischen den Normen verursachen Overhead Generelle Problemstellung: Hohe redundante Aufwände

8 Methodischer Zusammenhang Risiko und Compliance Vergleich der IST-Situation zu Normen/Standards Bewertung der Normenumsetzung auf Basis von Kontrollen Gaps als Risiko aus Nichterfüllung Gaps werden mit direkter Risikoeinschätzung verglichen Beispiel-Normen CobiT ITIL ISO / ISO Sarbanes Oxley Kontrollen

9 Integrated & Unified Compliance Management Gregor Mendel-Straße 58 A-1190 Wien Tel Fax

10 Effizientes Risk & Compliance Management Riskmanagement Der zentrale Baustein Internes Risk Management ist die primäre Zielsetzung Grundlage für Managemententscheidungen Compliance ist eine Ansicht auf die interne Risikoeinschätzung Risikoeinschätzung wird in anderer Struktur dargestellt Auditoren bekommen einen Blick auf das interne Riskmanagement in der Struktur der jeweiligen Norm

11 Effizientes Risk & Compliance Management Chancen der Kombination von Risk & Compliance Management Aufwandsersparnis: Einmalige interne Risikobewertung aus der sich Compliance ableitet nicht individuelle Bewertung für jede Norm Konsistenz: Redundante Bereiche aus Normen werden nur einmal bewertet Bewertung über Normen hin konsistent Transparenz: Jeder Stakeholder hat die entsprechende Darstellung auf die Risikobeurteilung Dadurch weniger Erklärungsbedarf

12 Gregor Mendel-Straße 58 A-1190 Wien Tel Fax

13 Standardisierte Auswertungen System Reports Standard-Reports mit konfigurierten Stammdaten Analyse Reports Reports mit standardisierter Darstellung der Ergebnisse der Scorecard Individuelle Standard-Reports Mittels MS SQL Reporting Services kann ein Set an individuellen Standard- Reports definiert werden OLAP Auswertungen Ein OLAP-Cube ermöglicht den Zugriff auf die Auswertungs-Daten aus Excel oder einem Scorecard System Filter- / Drilldown Funktionen, Analyse nach verschiedenen Gesichtspunkten

14 Vielen Dank für Ihre Aufmerksamkeit! Mag. Samuel Brandstaetter

Ähnliche Dokumente

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert