GOVERNANCE, RISK UND COMPLIANCE IN DER IT Balance zwischen Anforderungen, Risiken und begrenzten Budgets Die Situation Der wirtschaftliche Erfolg in Unternehmen hängt heute weitgehend von der Informationstechnologie ab. Deshalb wird immer stärker die Forderung erhoben, dass die IT unmittelbar und messbar für den Unternehmenserfolg mitverantwortlich ist. Die Situation der IT ist gekennzeichnet durch rasante Fortschritte in der Informationstechnologie sowie von höchsten Ansprüchen in Bezug auf eine effiziente und effektive IT-Unterstützung der Geschäftsprozesse bei engen Budgets. Hinzu kommen zahlreiche gesetzliche und unternehmensspezifische Vorschriften, die sich teilweise erheblich auf die IT auswirken. Weitere Fakten: y Geschäftliche Anforderungen wachsen immer weiter, dadurch erhöhte Anforderungen an die IT y Budgets werden durch den sich verschärfenden Kostendruck noch stärker belastet oder sogar reduziert y Zunehmende Bedrohungen lassen die Risiken und speziell die IT-Risiken steigen y Regulierende Richtlinien und Standards werden zunehmen Beim Betrachten dieser Anforderungen kommt einem der Gedanke, das Johann Wolfgang von Goethe mit seiner Feststellung: Wenn man alle Gesetze studieren wollte, hätte man gar keine Zeit, sie zu übertreten auch in die heutige Zeit gut passen würde. Die generell zu beantwortende Frage bzw. Herausforderung ist: Wie kann man erkennen, welche Auswirkungen die Anforderungen neuer Gesetze, Gesetzesänderungen und BSI HGB ISO/TR 13569 AktG IDW RS FAIT 1 IDW RS FAIT 2 BDSG IDW RS FAIT 3 GmbHG COBIT Richtlinien auf das eigene Unternehmen haben und wie können diese organisatorisch und/oder systemtechnisch funktional und revisionssicher umgesetzt werden. Hier sind auch die unternehmensspezifischen Regelwerke zu beachten. Bei der Suche nach einer Beantwortung dieser Fragestellungen ist man sehr schnell bei den Themen Corporate Governance, Risikomanagement und Compliance. Hinter diesen Begrifflichkeiten ist auch der Lösungsansatz zu finden. Über die nachstehenden kurzen und vereinfachten Definitionen wird dies sehr schnell klar: Corporate Governance: bedeutet verantwortungsvolle Unternehmenssteuerung durch die Geschäftsleitung. Corporate Governance beinhaltet die Grundsätze und Strukturen, anhand derer ein Unternehmen gesteuert und kontrolliert wird. GoB Compliance- Anforderungen IDW PS 330 IDW PS 951 IAS BilMoG GDPdU GoBS ITIL AO ISO 27001 Basel II KonTraG IDW Pflicht Best Practise ÜBER UNS Die Nutzung gemeinsamer Ressourcen im Netzwerk der BDO ist ein Wettbewerbsvorteil für unsere Kunden. BDO ist die führende mittelständisch geprägte Gesellschaft für Wirtschaftsprüfung und prüfungsnahe Dienstleistungen, Steuerberatung und wirtschaftsrechtliche Beratung sowie Advisory Services in Deutschland. An 25 Standorten in Deutschland betreuen wir national und international agierende Unternehmen unterschiedlicher Branchen und Größenordnungen. Durch persönliche Betreuung, Verlässlichkeit und höchste Qualität sowie durch die Einbindung in das leistungsfähige internationale Netz werk ist BDO die erste Adresse für den Mittelstand, Familienunternehmen und aufstrebende kapitalmarktorientierte Unternehmen. In Deutschland sind rund 1.900 Mitarbeiter beschäftigt. BDO ist Gründungsmitglied des internationalen BDO Netzwerks, ein seit 1963 bestehendes Netzwerk voneinander unabhängiger, rechtlich selbstständiger Wirtschaftsprüfungsgesellschaften, das einzige der vergleichbaren Netzwerke mit seinem Sitz in Europa.
Risikomanagement: bedeutet im weitesten Sinne Früherkennung, Bewertung, Kontrolle, Kommunikation und Steuerung von Risiken mit dem Ziel der möglichst weitgehenden Reduzierung von Schäden bzw. Verlusten durch ein geeignetes Kontrollsystem. Compliance: bedeutet Sicherstellung der Einhaltung sämtlicher für das jeweilige Unternehmen relevanten gesetzlichen Pflichten, Vorschriften und Richtlinien und umfasst damit auch alle taktischen Maßnahmen, die eine regelkonforme Erreichung der Corporate Governance sicherstellen soll. Aus diesen Begriffen können die Definitionen für IT-Governance und IT- Compliance abgeleitet werden: IT-Governance: beschreibt alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme (Hardware, Software, Netze) eines Unternehmens. Zu ihrer Aufgabe gehören die Abstimmung der IT mit der Unternehmensstrategie und den Geschäftszielen, die operative Steuerung des Betriebes von Anwendungssystemen und die dafür erforderlichen aufbau- und ablauforganisatorischen Maßnahmen. IT-Risiko: Identifiziert und bewertet die Risiken der Informationsverarbeitung, erkennt Störungen rechtzeitig, leitet Sicherheitsmaßnahmen ein und kontrolliert diese. IT-Compliance: Beschreibt die Einhaltung gesetzlicher und betrieblicher Anforderungen und ihre Umsetzung mit dem Ziel eines verantwortlichen Umgangs mit allen Aspekten der IT. Dabei muss die IT selbst compliant sein. kritische Aufgabenstellungen der IT IT-Überwachung IT-Sicherheit IT-Betrieb IT-Outsourcing IT-Projektmanagement häufige Schwachstellen y Definition, Abstimmung und Fortschreibung der IT-Strategie y Aufbau, Funktion und Dokumentation des IT-Kontrollsystems y Analyse von Angriffs- und Schadensszenarien sowie Definition von Schutzniveaus im Rahmen eines IT-Sicherheitskonzepts y Notfallkonzeption y Datenschutz und Datensicherheit typische Konsequenzen y Fehlende Einbindung des Top-s in IT-Entscheidungen y Unternehmensziele können mit der verfügbaren IT nicht erreicht werden y Fehlende Risikobeurteilung der IT-Prozesse y Risiken auf den IT-Prozessen steht kein angemessenes Kontrollumfeld gegenüber y Fehlende Nachvollziehbarkeit des IT-Kontrollsystems y Fehlende Analyse möglicher Bedrohungen führt zu nicht ausreichenden oder überzogenen Sicherheitsmaßnahmen y Maßnahmen zur IT-Sicherheit sind nicht effizient y Zusätzliche Schädigungen im Notfall aufgrund nicht definierter Maßnahmen und Verantwortlichkeiten y Fehlende Regelungen zum Schutz personenbezogener Daten y Umgehung der Datensicherheit aufgrund nicht definierter Berechtigungsstrukturen und Freigabeverfahren y Gewachsene IT-Infrastruktur y Gefährdung der IT-Vermögensgegenstände aufgrund baulicher Gegebenheiten bzw. unangemessener Zutrittsschutzmaßnahmen y Interne und externe Anforderungen an den Dienstleistungsvertrag y Beurteilung des dienstleistungsbezogenen internen Kontrollsystems y Steuerung unternehmenskritischer IT- Projekte y Einhaltung gesetzlicher Anforderungen an eine Verfahrensdokumentation y Ordnungsmäßigkeit und Sicherheit zu implementierender Prozesse und Systeme y Der Dienstleistungsvertrag beinhaltet keine angemessenen Regelungen zur Sicherstellung der internen und externen Anforderungen y Die Verantwortung ausgelagerter Prozesse hinsichtlich der Anforderungen an die Ordnungsmäßigkeit (GoB, GoBS) verbleibt beim Outsourcinggeber y Das dienstleistungsbezogene interne Kontrollsystem des Outsourcingnehmers ist nicht transparent y Eine Beurteilung der Wirksamkeit des dienstleistungsbezogenen internen Kontrollsystems kann nicht erbracht werden y Projektergebnisse entsprechen nicht den Anforderungen y Projektkosten und -termine werden nicht eingehalten y Gesetzliche Anforderungen an die Dokumentation und Prüfbarkeit DV-gestützter Buchführungssysteme werden nicht eingehalten y Ein Nachweis der ordnungsgemäßen Funktionsfähigkeit entwickelter Systeme bzw. Systembestandteile kann nicht erbracht werden
LÖSUNGSANSATZ IT GOVERNANCE Die BDO bietet ihren Kunden und Mandanten einen Lösungsansatz, der in einem ersten Schritt alle kritischen Bereiche in der IT beleuchtet, um Schwachstellen zu identifizieren und maßgeschneiderte Maßnahmen zu definieren. DER BDO IT-GOVERNANCE CHECK Mit Hilfe des IT-Governance Checks der BDO wird Ihre aktuelle Situation in Bezug auf IT-Governance, IT-Risko und IT-Compliance aufgenommen. Als Ergebnis erhalten Sie eine Beurteilung des Ist-Zustands mit Bezug auf interne und externe Anforderungen. Die Aufnahme erfolgt auf Basis Ihrer bisherigen Organisations- und Dokumentationsstrukturen. Nach Feststellung der Ist-Situation erarbeiten wir zusammen mit Ihnen ein Maßnahmenpaket, dass Sie in die Lage versetzt, allen Anforderungen gerecht zu werden. Unsere Vorgehensweise stützt sich dabei auf international anerkannte Standards, die wir in den folgenden Abschnitten kurz erläutern. Unternehmensstrategie Governance Governance Regelwerk ( Legislative ) Risiken Compliance- Risiken Finanz- Risiken Risiko- management- System Compliance- Kontrollen Finanz- Kontrollen Internes Kontrollsystem in Prozessen und IT-Applikationen ( Executive ) DOMÄNEN DER IT-GOVERNANCE IT-Strategie ausrichten und verfolgen Um die IT-Landschaft und den IT-Betrieb optimal auf den Geschäftsbetrieb ausrichten zu können, muss eine aus der Geschäftsstrategie abgeleitete IT-Strategie formuliert und zielgerichtet verfolgt werden. Dabei sind sowohl der heutige Stand als auch die zukünftige Ausrichtung von Geschäft und IT-Organisation sowie eventuell abzubildende strategische Initiativen zu berücksichtigen: Strategic Alignment. Qualität des IT-Betriebs messen Durch die Wandlung vom Technologieanbieter zum Service-Provider erhält die IT wertschöpfenden Charakter. Zur Messung der Qualität des IT-Betriebs ist eine prozessgerichtete Sicht auf den IT-Betrieb notwendig. Dabei müssen für jeden IT- Prozess kritische Erfolgsfaktoren (CSF) und Leistungsindikatoren (PKI) definiert werden, um die aktuelle Leistungsfähigkeit des Prozesses bestimmen zu können: Performance Measurement. Ressourcen verantwortungsvoll einsetzen Im Kontext von Unternehmensstrategie und IT-Strategie sind die Leistungen aller IT-Ressourcen (z. B. Daten, Technologien, Personal) im Hinblick auf die Unterstützung der Geschäftsprozesse stets zu verbessern. Zum Verständnis der kausalen Zusammenhänge müssen die IT-Leistungen als Services verstanden werden, was gegenüber dem klassischen Asset eine erweiterte Sicht darstellt: Resource. Wertbeitrag am Unternehmenserfolg sicherstellen Die gestiegene Bedeutung des Kontrollsystems der IT spiegelt sich in den veränderten Prüfungsgrundsätzen auf nationaler (z. B. IDW PS 330) und internationaler (z. B. Sarbanes-Oxley-Act) Ebene wider. Zur Sicherung der Informationswerte müssen für sämtliche IT-Ressourcen (z. B. Daten, Anwendungen) und Informationskriterien (z. B. Vertraulichkeit, Integrität) alle notwendigen Kontrollziele und -prozesse definiert werden, damit die IT dauerhaft Mehrwert liefern und so zum Unternehmenserfolg beitragen kann: Value Delivery.
Unternehmensrelevante IT-Risiken managen Ein umfassendes der Risiken und Chancen ist seit Inkrafttreten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Pflichtbestandteil der Unternehmensführung. Die mit der IT verbundenen Risiken stellen heute auf Grund des Stellenwerts der IT einen bedeutenden Anteil des operativen Risikos eines Unternehmens dar. Dies macht einen profunden und systematischen Ansatz zur Bewältigung der unternehmensrelevanten IT-Risiken erforderlich: Risk.Frameworks und Standards Derzeit gibt es noch kein umfassendes Modell, mit dessen Hilfe die IT-Governance gestaltet und gemessen werden kann. Mithilfe von Standards und Frameworks können jedoch Teilbereiche der IT-Governance abgedeckt werden. Die derzeit wichtigsten Standards bzw. Frameworks sind CobiT, ITIL, ValIT sowie RiskIT. 1. CobiT (Control Objectives for Information and Related Technology) CobiT ist das international anerkannte Framework zur IT Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives. CobiT definiert nicht, wie etwas umzusetzen ist, sondern was umzusetzen ist. Es ist ein Werkzeug zur Steuerung der IT aus Unternehmenssicht und wird u. a. auch als Modell zur Sicherstellung der Compliance eingesetzt. 2. ITIL (IT INFRASTRUCTURE LIBRARY) ITIL ist eine Sammlung von Best Practices, die eine mögliche Umsetzung des IT-Service-s beschreiben und inzwischen international als De-Facto-Standard hierfür gelten. In einem Regel- und Definitionswerk werden die für den Betrieb einer Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die Werkzeuge beschrieben. Die ITIL orientiert sich an dem durch den IT-Betrieb zu erbringenden wirtschaftlichen Mehrwert für den Kunden. Service Reporting Service Measurement Return on Investment for CSI The Business Question for CSI Contiual Service Improvement Service Level 7 Step Improvement Process Capacity Availability IT Service Continuity Supplier Service Design Service Transition Change Service Asset & Configuration Release & Deployment Service Validation & Testing Information Security Service Level Service Catalogue 3. ValIT ValIT ist eine Sammlung von erprobten -Praktiken für Investments in IT-gestützte Geschäftsänderungen und Innovation. Sie erlaubt Unternehmern, ihren ROI zu erhöhen und Business Value zu erzeugen. ValIT hilft Unternehmen, bessere Entscheidungen zu treffen, wo in Business Change investiert werden sollte. Evaluation Kmnowledge Transition Planning & Support Service Strategy Access Service Operation Incident Problem Event Request Fulfilment
4. RiskIT RiskIT ist ein Framework, basierend auf prinzipiellen Richtlinien für ein effektives von IT-Risiken. Es erklärt IT-Risiko und erlaubt es den Unternehmen, passende risikobewusste Entscheidungen zu treffen. Es ermöglicht den Anwendern, y IT-Risiken in die Unternehmensrisiken zu integrieren y Entscheidungen auf Basis von Informationen über Risikoausmaß, Risikoneigung und Risikotoleranz zu treffen y Zu verstehen, wie man Risiken begegnet In der Praxis werden die Standards und Frameworks miteinander kombiniert, um den bestmöglichen Nutzen zu erzielen. Für die meisten Standards existieren sogenannte Mappings, die die Verknüpfungspunkte zwischen den Standards/Frameworks darstellen. Dienstleistungen für Governance, Risk und Compliance in der IT y Entwicklung/Prüfung von IT-Strategien y Einrichtung/Prüfung des IT-Kontrollsystems in Prozessen y Einrichtung/Prüfung des IT-Kontrollsystems nach SOX/COBIT y System-/Prozessprüfungen im Rahmen des Jahresabschlusses y Risikoanalysen y Einrichtung/Prüfung des integrierten Risikomanagementsystems y IT-Security (Security guidelines and concepts) y IT-Securitiy Certification ISO 27001 y Audits for Business continuity planning, Backup and Recovery y Audits for Network and Operating System Security y IT-Security Scans (Penetrationstests) y Datenschutzrechtliche Prüfungen y Prüfung von SAP-Anwendungsberechtigungen y Durchführung von RZ-Prüfungen y Daten-/Hauptbuchanalysen y SAP Audits y Datenzugriff der Finanzverwaltung y Datenanalysen sowie Fraud & Error Analysen y Forensische Untersuchungen von IT-Systemen y Prüfung des Outsourcing nach IDW PS 951 y Prüfung des Outsourcing nach ISAE 3402/ISAE 3000 y Prüfung bei Mehr-Mandanten-Dienstleistern y Projektbegleitende Prüfungen y Erstellung von Verfahrensdokumentationen y Softwareauswahl (Geschäftsprozessanalyse, Lasten-/Pflichtenheft, Softwareanbieterauswahl) y Prüfung/Audit von Dokumentenmanagement-Systemen y Softwarezertifizierungen nach IDW PS 880
KONTAKT BDO AG Wirtschaftsprüfungsgesellschaft Fuhlentwiete 12 20355 Hamburg Telefon: +49 40 3 02 93-351 Telefax: +49 40 3 02 93-366 itaudit.projekt@bdo.de Weitere Informationen zum BDO Netzwerk finden Sie unter www.bdo.de Für eine individuelle Beratung vereinbaren Sie bitte ein unverbindliches Vorgespräch oder einen Präsentationstermin in unserem Haus Dieses Dokument wurde mit Sorgfalt erstellt, ist aber allgemein gehalten und kann daher nur als grobe Richtlinie gelten. Es ist somit nicht geeignet, konkreten Beratungsbedarf abzudecken, so dass Sie die hier enthaltenen Informationen nicht verwerten sollten, ohne zusätzlichen professionellen Rat einzuholen. Bitte wenden Sie sich an die BDO AG Wirtschaftsprüfungsgesellschaft, um die hier erörterten Themen in Anbetracht Ihrer spezifischen Beratungssituation zu besprechen. BDO AG Wirtschaftsprüfungsgesellschaft, deren Partner, Angestellte, Mitarbeiter und Vertreter übernehmen keinerlei Haftung oder Verantwortung für Schaden, die sich aus einem Handeln oder Unterlassen im Vertrauen auf die hier enthaltenen Informationen oder darauf gestützte Entscheidungen ergeben. BDO AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft deutschen Rechts, ist Mitglied von BDO International Limited, einer britischen Gesellschaft mit beschränkter Nachschusspflicht, und gehört zum internationalen BDO Netzwerk voneinander unabhängiger Mitgliedsfirmen. BDO ist der Markenname für das BDO Netzwerk und für jede der BDO Mitgliedsfirmen.