Wie kann ein IKS durch Informatiksysteme unterstützt werden? Workshop Clemens Gubler NOVO Business Consultants AG Bern, 20 Juni 2007 Agenda Begrüssung Vorstellung NOVO Workflow Systeme Prozessdokumentation Compliance Systeme
NOVO Business Consultants AG Zahlen und Fakten Gründungsjahr: 1999 Rechtsform: AG Aktionäre: Partner und MitarbeiterInnen Zweck: Beratungs- und Informatikdienstleistungen Personal: mehr als 75 Mitarbeiterinnen und Mitarbeiter Standorte: 8001 Zürich, Talstrasse 20 3012 Bern, Stadtbachstrasse 64 Tochtergesellschaft: NOVO Insurance Consultants AG Wichtigste SAP, Baletec, arcplan, abaxx Partnerschaften Krebsliga Was zeichnet uns aus NOVO ist ein Beratungs- und Informatikdienstleistungsunternehmen mit ganzheitlichem Problemlösungsapproach NOVO hat über 200 erfolgreiche abgeschlossene SAP Projekte NOVO ist stark auf öffentliche Verwaltungen fokussiert Bund Kantone Gemeinden ausgelagerten Betrieben (Energieversorgungsunternehmen, Hochschulen, etc.) NOVO baut auf langfristige Kundenbeziehungen und lebt diese NOVO beschäftigt 85% Senior Consultants mit langjähriger Praxiserfahrung
Agenda Begrüssung Vorstellung NOVO Workflow Systeme Prozessdokumentation Compliance Systeme Passwort gegen Kugelschreiber Bei einem Feldversuch in London haben 90 Prozent der beteiligten Passanten im Tausch gegen ein billiges Schreibgerät ihr Computerpasswort preisgegeben. Durchgeführt wurde das Experiment von den Organisatoren der IT- Sicherheitskonferenz Infosecurity Europe 2003. Sie beauftragten gutaussehende, junge Frauen damit, im Bahnhof Waterloo Station Berufspendler zu befragen und ihnen als Dankeschön ein kleines Präsent zu überreichen. Gefragt wurde dabei auch Wie lautet ihr Passwort. 75 Prozent der Passanten hatten keine Skrupel, diese Frage direkt zu beantworten. Alle anderen wurden beispielsweise danach gefragt, in welche Kategorie ihr Passwort fällt. Durch die Nachfragen konnte die Zugangskennung von weiteren 15 Prozent ermittelt werden. Elspeth Wales Computer Zeitung Nr. 20 / 12. Mai 2003
Anforderung an ein Berechtigungssystem Klares Rollenkonzept Definition der Berechtigungsobjekte Unverträglichkeiten von Rollen definieren (Ausschlussliste) Regelmässige Ueberprüfung der und der vergeben Berechtigungen Vergabe von Benutzerrechten Einbau von Sicherheitsstufen Sprint Phase (Get Clean) Marathon Phase (Stay Clean) Risko-Identifikation & Minderung Rollenmanagement Notfalluser Betrieb Prävention
Vergabe von Berechtigungen Benutzer mit Berechtigungen anfordern Prozess- oder Data Owner Rollen definieren Rollen aktivieren QS Benutzer anlegen QS Benutzer Rollen zuweisen Agenda Begrüssung Vorstellung NOVO Workflow Systeme Prozessdokumentation Compliance Systeme
Genehmigungsprozess Reisemanagement Name Vorname Abteilung Nationalität Destination Benchmarkpreis Abreisedatum Abreisezeit Rückreisedatum 2 2 2 2 4 5 6 6 6 Reisenummer Kostenstelle Kostenträger Weiterverrechnung Späteste Ankunftszeit Späteste Ankunftszeit 1 2 + 3 3 Kunden SAS 3 6 6 Reiseantrag Reisender SBB ½ Tax Bahnklasse Hotel von bis Mietwagen von bis Ja Nein 7 1. 2. 8 8 8 8 Begründung / Bemerkungen 9 per Workflow Genehmigung Reise genehmigt: Ja Nein Vorgesetzte per Workflow Reise buchen Info an Reisenden per E-mail Qualitätssicherung Reisebuchung Reisebüro Beispiel: Workflow Rechnungseingang Sachbearbeiter Führungskraft Rechungs - eingang Rechnung erfassen Verbuchung Meldung an Führungskraft Workflow Prüfung Freigabe Verbuchung mit Zahlsperre SAP ERP Beleg Kreditor Zahlsperre wird aufgehoben
Vieraugenprinzip: Variante Personalstammdaten Dezentrale Erfassung Rechungs Neue - Anstellung eingang Zentrale Personaladministration Personaldaten Rechnung erfassen erfassen (Ministamm) Meldung an Lohnbüro Workflow Prüfung Ergänzung Prüfung Lohndaten Freigabe Gesperrte Verbuchung SAP ERP Beleg Personalstamm Kreditor Sperre wird aufgehoben Agenda Begrüssung Vorstellung NOVO Workflow Systeme Prozessdokumentation Compliance Systeme
Prozesssteuerung Erkennen/Abklären von Gefahrenpotentialen Dokumentation aller relevanten Prozesse Definition und Dokumentation der Kontrollen Risikofrüherkennung führt zur Implementierung von Kontrollen in Geschäftsprozessen Kontrollen verschiedenster Geschäftsapplikationen müssen überwacht werden Priorisierung der Risiken leitet Massnahmenplanung ab Vers.lücke vorhanden? ja Besprechung mit Bereich F Massnahmen notwendig? Ausarbeiten der Massnahmen Fortsetzung bei A ja nein Erkennen/Abklären von Gefahrenpotentialen erledigt nein Fortsetzung von C Fortsetzung bei B Prozessdokumentation IKS mit ViFlow Eine alternative zu Visio, Word,
Agenda Begrüssung Vorstellung NOVO Workflow Systeme Prozessdokumentation Compliance Systeme Braucht es ein IKS /Compliance Software Tool um compliant zu werden? Die Antwort ist Nein!
Tool Überlegungen ob und was für ein Tool zur Anwendung kommt hängt u.a. davon ab, ob Sie an einer zentralen Stelle jederzeit ein Monitoring über den Status Ihrer Kontrollen haben wollen? Sie standardisierte Compliance Prozesse über Ihre ganze Unternehmung ausrollen wollen? Sie alle relevanten Compliance Dokumente in einem Dokument Repository aufbewahren wollen? Sie interaktives Know-How sharing mit best practice Beispielen über eine Plattform ermöglichen wollen? Sie die unternehmensweite Compliance-Zertifizierung im Jahr 2 nach Implementierung einfach erreichen wollen? und das Alles in einer effizienten Art und Weise! Wenn Sie diese Fragen mit Ja beantwortet haben dann sollten Sie sich eine Investition in ein Compliance Tool überlegen
Key Funktionalitäten GRC-Tool aus unserer Sicht Zentraler Prozess Katalog Kontrol Matrix mit Key Kontrollen und Link zu ER/Bilanz Assessment der Kontrollen Testen der Kontrollen Identifikation der Schwachstellen und Definition der Korrekturmassnahmen (gaps,action plans) Zentrales Dokumenten Management Dokumentation der Hauptprozesse (Flowcharts) Dokumentation der Testresultate Management Reporting Monitoring/Tracking der Compliance Schritte Management der Kontrollschwachstellen Analytisches Reporting 2. Übersicht (GRC) Software heute Je nah Definition gibt es heute unzählige so genannte GRC Software auf dem Markt. Die u. E. wichtigsten Anbieter: BWise Open Pages Axentis Qumas Stellent Paisley Consulting SAP/Virsa Certus Microsoft Oracle IBM
Agenda Begrüssung Vorstellung NOVO Workflow Systeme Prozessdokumentation Compliance Systeme.. Besten Dank für Ihre Aufmerksamkeit Kontaktadresse: Clemens Gubler Partner clemens.gubler@novo-bc.ch +41 79 610 69 80 +41 44 211 88 05 NOVO Business Consultants AG Talstrasse 20 8001 Zürich www.novo-bc.ch