Deutschland

Nr. 71, Dezember 2004
Thema
“Deutschland”
Switzerland Chapter
Germany Chapter
Austria Chapter © 3.12.2004
2
Inhaltsverzeichnis
Inhaltsverzeichnis
Impressum
Editorial
4
Herausgeber:
ISACA Switzerland Chapter
CORONET – Vom Call-Center- zum Process-Center-Controlling? 5
c/o Monika Josi
Novartis Animal Health
Forensische Datenanalyse – Anspruch oder Wirklichkeit?
8
Global Information Technology
WRO-1032.1.90
Sarbanes-Oxley und die Folgen – Transparenz im
4002 Basel
Finanzberichtswesen durch Einsatz von SAP-Lösungen
Redaktion:
Sarbanes-Oxley-Act – Professionelles Management
Max F. Bretscher
interner Kontrollen
11
12
KPMG Fides Peat
Badenerstrasse 172
Risk Management – L’auditeur informatique ou la maîtrise
8026 Zürich
des risques
18
Satz und Gestaltung:
Forum
20
Express Line
21
The ISACA Crossword Puzzle
22
DACH-News
24
Veranstaltungen
30
unter voller Quellenangabe.
Germany Chapter
32
Preise:
Austria Chapter
33
Switzerland Chapter
34
WissensTransfer
Francesca Lüscher Baglioni,
8235 Lohn, SH
Jeder Nachdruck, auch auszugsweise,
sowie Vervielfältigungen oder sonstige
Verwertung von Texten oder Abbildungen aus dem NewsLetter nur mit schriftlicher Genehmigung des Herausgebers
Mitglieder gratis
Abonnement CHF 35.–/Jahr
Einzelnummer CHF 10.–
Inserate:
1 Seite CHF 400.–
1/2 Seite CHF 240.–
1/4 Seite CHF 160.–
Erscheint 5 Mal jährlich
Auflage: 1350 Exemplare
Nächste Ausgabe (Thema: SarbanesOxley/Basel II): Februar 2005, Redaktionsschluss: 20. Januar 2005
3
Editorial
Ich wünsche Ihnen allen bei der
Editorial
Lektüre dieses ersten „Deutschen“
NewsLetters nun viel Spaß und
hoffe, dass Sie fragen werden:
Vor einiger Zeit kamen die Kollegen
ein
des Swiss Chapters auf mich zu und
wurde jedoch lange Zeit kaum be-
Kernthema
der
IT-Prüfung,
NewsLetter
fragten mich, ob das German Chap-
achtet. Mit diesem Artikel soll unser
German Chapter?“
ter nicht einen NewsLetter vollstän-
aller Interesse an diesem Thema
dig übernehmen könnte. Im ersten
erneut geweckt werden, da die Mög-
Moment fragte ich mich, wie wir das
lichkeiten des Einsatzes sehr viel-
denn hinbekommen sollen; insbeson-
fältig sind.
„Wann gibt es denn den nächsten
unter
dem
Motto
Ingo Struckmeyer
dere waren ausreichend interessante
Beiträge aus der Feder von Mitglie-
Alles in allem haben wir in diesem
Anmerkung des Redaktors: Damit
dern des German Chapters gefragt.
NewsLetter unterschiedlichste The-
unsere welschen Kollegen nicht ganz
Nun liegt das Ergebnis dieser Be-
men aus vielen Sichtweisen zusam-
leer ausgehen, habe ich mir erlaubt,
mühungen vor uns und muss nun
mengestellt. CORONET hat neben
einen französischsprachigen Artikel
Ihrem Urteil standhalten.
einem praktischen Bezug auch eine
einzuschmuggeln.
Verbindung zur Wissenschaft. Dicht
Da es sich um einen NewsLetter mit
an
Artikeln
orientiert sich auch die Forensische
einer
Region,
nämlich
wissenschaftlichen
Deutschland, handelt, gibt es kein
Datenanalyse.
festes inhaltliches Thema. Vielleicht
Sarbanes-Oxley-Act sollen Ihnen aus
gerade deshalb ist eine m.E. sehr
unterschiedlichen Aspekten heraus
interessante
zeigen, wie eine Umsetzung bzw.
Mischung
zustande
gekommen.
Die
Methoden
Artikel
zum
Unterstützung in die Praxis wiederzufinden ist.
Die Themengebiete umfassen:
n Sarbanes-Oxley-Act
Zum Ende dieses Editorials möchte
n Forensische Datenanalyse
ich noch einmal allen Autoren herz-
n CORONET
lich danken und alle anderen Mitglieder des ISACA German Chapters
Mindestens eine der vorstehenden
motivieren, auch einen Artikel aus
Überschriften wird Ihnen noch nicht
Ihrem Wissen, Ihrer Erfahrung oder
viel sagen. Ich meine hierbei das
Praxis in einem der nächsten News-
Projekt CORONET, das sich mit der
Letter zu veröffentlichen. Sie können
Analyse von Call-Center-Prozessen
sich diesbezüglich direkt an mich
im Rahmen von Outsourcing be-
[email protected]
schäftigt. Dieser Artikel wird der
wenden.
erste einer vierteiligen Serie sein, die
zukünftig in den weiteren Ausgaben
des NewsLetters erscheinen wird.
Sarbanes-Oxley wird uns in diesem
NewsLetter hinsichtlich der Unterstützung durch SAP sowie den Zusammenhang mit dem Internen Kontrollsystem näher gebracht. Forensische Datenanalyse ist schon lange
4
„Deutschland“
ketten der Kundenkommunikation zu
CORONET
übernehmen
Vom Call-Center- zum
Call-Centern
sind
entsprechende
Tendenzen zu beobachten.
Process-Center-Controlling?
Dynamik
(„Business-Process-
Outsourcing“). Auch in Inhouse-
kennzahlen ausreichte, nehmen heute
die qualitativen Faktoren – besonders
Veränderungsprozesse
und Modellbildung
In nur einem Jahrzehnt hat der Call-
auch durch Basel II und die Balanced
Center-Bereich derart starke Impulse
Scorecard
eine
Einflüsse auf die Bildung eines Con-
geliefert, dass das Erscheinungsbild
immer grössere Rolle bei der Risiko-
trolling-Modells werden deshalb vor
von Unternehmen sich deutlich ver-
betrachtung und Unternehmenssteue-
allem davon ausgehen, dass sich
ändert hat. Waren Call-Center noch
rung
n organisatorisch viel ändern wird,
vor 30 Jahren reine Telefonagen-
Modelle sollten zumindest die Kun-
künftig
turen, so entwickelten sie sich in den
denseite,
n die qualitativen Aspekte an Be-
letzten
zu
sowie die Mitarbeiterzufriedenheit
deutung gewinnen,
Dienstleistern, die bereits ganze Pro-
und -motivation berücksichtigen. Zu-
n in diesem Zusammenhang auch
zesse ihrer Auftraggeber überneh-
nehmend wird aber auch die Frage
die Mitarbeiterfrage immer wichtiger
men. Die Betrachtung der Call-
der Sicherheit in die Betrachtungen
wird und
Center-Entwicklung passt insofern
einbezogen. Das Spektrum reicht
n der Sicherheit eine immer bedeu-
recht gut in die augenblickliche
hier von der Strategie und ihrer
tendere Rolle zukommt.
Diskussion des sogenannten Busi-
Umsetzung im eigenen Unternehmen
ness Process Outsourcing.
bis zur operativen Übernahme von
Jahren
immer
mehr
ein.
dokumentiert
Heutige
die
–
Controlling-
Wirtschaftlichkeit
Funktionen und Prozessen durch
Die rasante Entwicklung hat trotz
Organisation
externe Dienstleister.
Organisationstheoretisch betrachtet,
vieler guter Optimierungsideen und
-ansätze auch viele Fragen auf-
Sich beim Entwurf eines Control-
gewinnt die prozessuale Sicht der
geworfen. Aktuell wird vielfach
ling-Instrumentes ausschließlich auf
Dinge an Bedeutung. Idealerweise
darüber diskutiert, wie Call-Center
die traditionelle Rolle von Call-
sollte ein Unternehmen sich vor
und vergleichbare Organisationsein-
Centern zu beziehen, scheint deshalb
allem auf Kunden hin ausrichten,
heiten am besten gesteuert („cont-
zu kurz gegriffen zu sein. Denn es
wenn es erfolgreiches Service- und
rollt“) werden können. Neben unter-
gibt keinen Grund anzunehmen, dass
Qualitätsmanagement betreiben will.
nehmerischen Anforderungen sind es
in den nächsten zehn Jahren nicht
Anstatt in erster Linie ein Produkt
auch immer häufiger Investoren,
mit weniger dramatischen Verände-
herzustellen und sich erst nachge-
Banken und gesetzliche Bestim-
rungen zu rechnen ist. Das wirt-
ordnet den Problemen der Kunden-
mungen, d.h. externe Einheiten, die
schaftliche Umfeld der Unternehmen
gewinnung und des Marketing zuzu-
auf ein angemessenes Risikomanage-
wird immer globaler, der Wett-
wenden, sollten sich Unternehmen
ment sowie eine verlässliche Unter-
bewerb schärfer, der Innovations-
bereits in der Produktentwicklungs-
nehmenssteuerung drängen.
druck und die Innovationsgeschwin-
phase nach den Bedürfnissen ihrer
digkeit höher. Diesen Wettlauf über-
Kunden richten, falls erforderlich das
Die Anforderungen an ein Control-
steht und gewinnt nur, wer seine
Produkt umgestalten und den Pro-
ling-Konzept sind heute nicht durch
eigenen Prozesse ständig überdenken
duktionsprozess immer weiter grei-
die Betrachtung der quantitativen
und flexibel anpassen kann. Aufge-
fender Qualitätskontrolle unterwer-
Kennzahlen erfüllt. Wenn früher eine
griffen haben diesen Trend bereits
fen. Unternehmen sind eine fort-
meist vergangenheitsorientierte Dar-
die
die
laufende Wertschöpfungskette vom
legung von Finanz- und Effizienz-
sich dafür rüsten, ganze Prozess-
Zulieferer bis zum Kunden. Diese
Call-Center-Dienstleister,
5
„Deutschland“
konsequente Ausrichtung an stei-
Erfolg gekrönt war. Die Bedeutung
Qualifikation
steigt
die
Verant-
gende Kundenanforderungen erfor-
solcher Maßnahmen zur Sicherung
wortung der Agenten und ihr Beitrag
dert durchgängige Prozesse und die
von Wettbewerbsvorteilen soll nicht
an der Maximierung des Kunden-
Optimierung der einzelnen Schritte
in Zweifel gezogen werden. Aber
nutzens. Die Bedeutung der Agen-
(Operational Excellence).
langfristige Existenzsicherung funk-
ten-Kunden-Interaktion für die Qua-
tioniert nicht ohne Kundengewin-
lität der gesamten Kundenbeziehung
Die Retrospektive zeigt, dass die
nung und -bindung. Die strategi-
rangiert gleich hinter der des Kern-
Call-Center-Branche von Beginn an
schen Chancen sind auch auf der
produktes, weshalb gerade Arbeits-
in diese Richtung tendierte. Anfäng-
Erlösseite angesiedelt. Die Bedeu-
zufriedenheitsaspekte in den Mittel-
lich waren Call-Center wenig in die
tung von Service- und Qualitäts-
punkt des Interesses rücken. Denn
Abläufe integriert und hatten eher
management nimmt deshalb umso
eine bestimmte Arbeitsleistung lässt
den Charakter von eigenständigen
stärker zu, je weiter die Emanzi-
sich nicht verordnen, sondern muss
Organisationseinheiten. Mittlerweile
pation der Kunden voranschreitet.
kultiviert werden. Ein ControllingModell muss dies nachvollziehbar
bedienen Kundenservice-Center dank
modernster Technik alle denkbaren
Für eine Maximierung des Nutz-
machen und aufzeigen, wie Arbeits-
Kommunikationskanäle und über-
wertes der Kunden reicht die schnel-
zufriedenheit und ökonomische Grö-
nehmen wesentliche Funktionen und
le und freundliche Bedienung allein
ßen zusammenhängen.
Teilprozesse
Unternehmen.
nicht mehr aus. Vielmehr muss eine
Schreitet diese Entwicklung voran,
Beziehung zum Kunden hergestellt
werden Call-Center von morgen in-
und aufrecht erhalten werden, was
sofern auch weniger „Call“ Center
ein „Sicheinstellen“ auf die Be-
als vielmehr „Prozess-Center“ sein,
dürfnisse impliziert. Neben Produkt-
Werden nun die unterschiedlichen
deren Aufgabe in der Übernahme
palette, Produktqualität etc. betrifft
Veränderungsprozesse
und dem Management von komp-
dies die Kunden-Agenten-Interak-
geführt, so gelangt man zwingend
letten Unternehmensprozessen be-
tion. Die gesamte Kundenbeziehung
auch zu Sicherheitsanforderungen im
steht. Dies gilt für Dienstleister eben-
(Erreichbarkeit etc.) und vor allem
Hinblick auf die in den Prozessen
so wie für Inhouse-Call-Center. Kon-
das Gespräch selbst müssen die
verwendeten Daten und Systeme
sequenter Schlusspunkt dieser Ent-
Erwartungen der Anrufer reflektie-
sowie
wicklung könnte sein, dass traditio-
ren. Da sich Qualität aus der Über-
Mitarbeitern.
nelle und bislang aktuelle Formen
einstimmung der Kundenerwartun-
soziotechnischen
der Unternehmensorganisation (z.B.
gen ergibt, müssen die Kriterien zu
durch einen erhöhten Auslagerungs-
Aufbau- und Ablauforganisation) in
ihrer Definition konsequent aus der
grad geprägt sind,
Call-Center-artigen
prozessualen
Kundenperspektive festgelegt wer-
Anforderungen an Sicherheitsvor-
Organisationsstrukturen aufgehen –
den, was noch einmal unterstreicht,
kehrungen und -mechanismen ver-
zumindest wenn die Leistungserstel-
dass die gesamte Unternehmens-
mutlich überproportional zu. Die
lung von zufallsabhängigen Kunden-
organisation dieser Tatsache Rech-
Thematik tangiert dabei wohl nicht
ereignissen (einschließlich des direk-
nung tragen muss.
ausschliesslich Situationen, in denen
von
ten Kundenkontakts) davon abhängt.
Sicherheit
nur
deren
externe
vor
Augen
Anwendern,
Gerade
den
bei
den
Systemen,
die
nehmen die
Dienstleister
einge-
schaltet sind; auch Profit-Center
Mitarbeiterfrage
Qualitative Aspekte
innerhalb einer Unternehmung unterliegen den besonderen Anforderun-
Die Veränderung des Aufgabenge-
gen an die Sicherheit. Die genaue
Die qualitativen Aspekte gewinnen
bietes von Call-Centern bleibt auch
Kenntnis von Prozessen, Schnitt-
an Bedeutung, weil die Konzentra-
nicht ohne Auswirkungen auf das
stellen, Zugangsberechtigungen usw.
tion auf quantitative – also z.B. pro-
Profil der Agents und der damit
sowie deren Management sind von
duktivitätssteigernde – Maßnahmen
verbundenen
Personalorganisation
grösster Bedeutung für die Sicherheit
zu einseitig und nicht immer mit
und -entwicklung. Bei zunehmender
eines Unternehmens. Bei externen
6
„Deutschland“
Dienstleistern und damit in Out-
system
sourcing-Projekten
kombiniert
werden,
das
CORONET
es
möglichst viele Wirkungszusammen-
darüber hinaus mit fremden Kunden-
hänge berücksichtigt. Neben der
Ziel von CORONET ist die Entwick-
daten zu tun bzw. ist prozessual
reinen Diagnose wird damit die
lung eines Controlling-Modells, das
meistens in das DV-technische Sys-
Planung (z.B. über Szenarienbildun-
die Umsetzung von Unternehmens-
tem des Auftraggebers direkt ein-
gen) sowie die Zielsteuerung und
strategien sicherstellen soll. Dabei
gebunden. Die Sicherheitsperspek-
-balance möglich.
werden zufallsgesteuerte bzw. kun-
hat
man
tive wird deshalb in zukünftigen
denfrequenzabhängige
Controlling-Modellen sowohl strate-
tionseinheiten unter Berücksichti-
Organisa-
gisch als auch operativ eine immer
Operative und strategische
gung der grundlegenden Perspekti-
grössere Rolle spielen.
Aspekte
ven Kunden-, Arbeitszufriedenheit
und Wirtschaftlichkeit sowie Sicher-
Damit die Steuerung zeitnah erfolgen
heit betrachtet. Es soll Zustände
kann, müssen die Indikationen lau-
nicht nur analysieren und interpre-
fend aktualisiert werden. Je nach
tieren helfen, sondern die Auswirk-
Messgröße und Erhebungsmethode
ungen unterschiedlicher Bedingungs-
Die Veränderungstendenzen bleiben
kann dies minütlich (z.B. Service-
konstellationen – auch auf die vor-
nicht ohne Auswirkungen auf die
level oder Besetzung), täglich (z.B.
und nachgelagerten Prozessschritte –
Anforderungen an ein Controlling-
bzgl. Kundenzufriedenheit) oder in
nachvollziehbar machen, um Ent-
Modell:
größeren Abständen (beispielsweise
scheidungen bezüglich geeigneter
wöchentlich bzgl. der Arbeitszufrie-
Gegensteuerungsmaßnahmen fällen
denheit) geschehen. Die Realtime-
zu können. Mit Hilfe des CORO-
Steuerungsfähigkeit ist jedoch nur
NET-Modells sollen so die Grund-
ein Element des Gesamtcontrollings.
lagen für komplexe Simulationen für
Unter Annahme der so genannten
Neben den operativen sind noch die
zufallsgesteuerte
Instrumentalthese, dass Unterneh-
strategischen Aspekte zu berück-
heiten aller Art möglich gemacht
men als Koalitionen verstanden wer-
sichtigen. Auch wenn Call-Center-
werden. Die Erhebungen begannen
den können, die von den Teilneh-
Controlling keine strategische Auf-
im Sommer 2004. Interessenten sind
mern Kunden (und Lieferanten),
gabe ist, tragen Call-Center-Aktivi-
jetzt noch herzlich eingeladen zur
Mitarbeitern und Kapitalgebern dazu
täten doch zumindest zur Umsetzung
Teilnahme an dem Projekt und
benutzt werden, ihre individuellen
von Unternehmensstrategien bei. Die
erfahren mehr unter www.coronet-
Ziele zu realisieren, besteht die Con-
Verzahnung der operativen (Call-
online.de. Kooperationspartner ist
trollingfunktion im Kern darin, die
Center-) Controllings und des strate-
die Universität Hamburg (Professor
Erwartungen auszugleichen und ein
gischen
Unternehmenscontrollings
Dr. Küpper). Die Organisation und
organisationales Gleichgewicht zu
kommt deshalb besondere Bedeu-
Koordination übernehmen Dr. Flo-
unterstützen. Die Leistungsprozesse
tung zu. Die prozessuale oder auch
rian Schümann und Dipl.-Kfm. Horst
müssen so gesteuert werden, dass
systemische Herangehensweise för-
Tisson.
einerseits die Anforderungen der
dert diese Integrationsnotwendigkeit.
Umwelt (also z.B. der Kunden) er-
Eine
füllt werden, an welche die Organi-
spielsweise wäre damit als Sub-
sation ihre Leistungen abgeben will
Scorecard in ein System von Unter-
und dass andererseits die Anfor-
nehmens-Scorecards zu integrieren.
Anforderungen an die
Modellbildung
Balance
Call-Center-Scorecard
Organisationsein-
bei-
derungen der Mitglieder (z.B. Agenten) befriedigt werden, die diese
Leistungen erbringen sollen. Dazu
müssen die Einzelziele operationalisiert und zu einem Kennzahlen7
„Deutschland“
Artikelserie/Ausblick
Forensische Datenanalyse
Artikel 1: Einleitung/Vorstellung des
Coronet-Projektes
Anspruch oder Wirklichkeit?
Artikel 2: Ergebnisse des 1. Befragungszyklus – Paradigmenwechsel
im Call-Center-Bereich
Seit Mitte der 80er-Jahre ist die
samkeit der Plausibilität zu hinter-
Auswertung
fragen.
von
großen
Daten-
Artikel 3: Ergebnisse des 2. Befra-
beständen ein wesentlicher Bestand-
gungszyklus – Auslagerung von
teil der praktischen Revisionsarbeit.
n Was bedeutet nun der Begriff
Funktionen und Prozessen. Betrach-
Dabei waren von Beginn an zwei
„forensisch“ in diesem Zusammen-
tung von strategischen Aspekten und
Betrachtungswinkel vorstellbar:
hang? Laut Wörterbuch: „die Gerichtsverhandlung betreffend“. Sollte
Anforderungen an die Prozesstransn Ansatz „repräsentativ“, d.h., dass
es sich also nur um Datenanalyse in
eine Aussage über eine Grund-
Zusammenhang mit dolosen Hand-
Artikel 4: Ergebnisse des 3. Befra-
gesamtheit anhand einer Stichprobe
lungen, neudeutsch „Fraud“, han-
gungszyklus – Controlling-Modell
getroffen werden soll, die eine
deln? Das wäre sicher zu kurz
prüferisch handhabbare Größenord-
gegriffen. Vielmehr sind darunter
nung hat, aber in der Zusammen-
Prüfungswerkzeuge zu verstehen, die
setzung dem Gesamtbestand mög-
über das klassische „if-then-else“ als
lichst entspricht. Dabei spielte auch
Prüfungsansatz
die Argumentation gegenüber dem
zusätzliche und vertiefende Funktio-
geprüften Bereich eine Rolle, bei der
nalitäten bieten, um Auffälligkeiten
die zunächst als suspekt betrachtete
aufzuspüren. Bei Betrachtung der
Stichprobenauswahl durch ein statis-
verschiedenen auf dem Markt er-
tisch abgesichertes Verfahren erhär-
hältlichen Software-Tools wird deut-
tet werden sollte.
lich, dass die Auffassungen über ein
plantation.
hinausgehen
und
„forensisches“ Vorgehen stark diffe-
Dipl.-Kfm. Horst Tisson ist nach
Stationen bei IBM, Andersen Con-
n Ansatz „selektiv“, hierbei ist das
rieren. Im folgenden sollen daher
sulting und Thomas J. C. Matzen seit
anteilige Vorkommen von Einzel-
verschiedene Einzelaspekte darge-
10
Unter-
fällen weniger im Blickfeld, als viel-
stellt werden, die dem Oberbegriff
nehmensberater und Doktorand an
mehr die Qualität des Einzelfalls, der
„Forensik“
der Universität Hamburg, E-Mail:
in seiner Konstellation Auskunft
können.
[email protected].
über bestimmte, vielleicht schon in
Jahren
selbständiger
zugerechnet
werden
der Prozessanalyse theoretisch vermutete, Risikovorgänge gibt. So ist
Digitale Analyse
es z.B. ein Ansatz, das Vorhanden-
8
sein und die Wirksamkeit von Daten-
Gemeinsamer Ansatz dieser Vor-
plausibilitäten dadurch nachzuprü-
gehensarten ist die sog. Benford-
fen, dass man eine notwendige
Analyse.
Plausibilität mit Hilfe der Prüfsoft-
(Er)Finder dieser Gesetzmäßigkeit,
ware formelmäßig nachstellt und
wird durch einen Programmlauf ge-
über den geprüften Bestand schickt.
prüft, inwieweit die Ziffernverteilung
Allein das Auftreten eines einzigen
(1., 2., oder die ersten beiden Ziffern,
Falles, der gegen die vorgegebene
usw.) des geprüften Bestandes von
Regel verstößt, ist Anlass, die Wirk-
der Verteilung in natürlichen Men-
Benannt
nach
dem
„Deutschland“
gen abweicht. Sind signifikante Ab-
bedenkenswert, die im Gegensatz zur
nummer und der Vertriebsweg er-
weichungen vorhanden, so kann dies
Benford-Verteilung
Vertei-
fasst. Diese Felder kann man nun
ein Hinweis auf manipulative Tätig-
lungswert der Ziffern nach dem
exportieren und um einen Counter
keit sein. In den Musterbeispielen
durchschnittlichen
Erwartungswert
(=1) als dritte Kolonne ergänzen.
werden erfahrungsgemäß die Be-
von
Schätzungen
Anschließend lässt man diese Datei
tragsgrenzen bemüht, die ein Unter-
abgibt.
nehmen
bei
einen
menschlichen
durch eine Kreuztabelle laufen, die
Artikel
Auszahlungsbeträgen
und
Vertriebsweg
mit-
setzt – z.B. 10 000 €. Der typische
Ebenfalls ein interessanter Ansatz ist
einander referenziert. Sollen nun
Täter wird dann Zahlungen von
die Prüfung der beiden letzten Zif-
bestimmte Artikel nicht über be-
9 980.– € und ähnliche in größerer
fern vor dem Dezimalkomma bei
stimmte
Menge absetzen, um die gesetzte
Zahlen mit 4 und mehr Stellen. Hier
werden, so müssten in der fertigen
Kontrollgröße zu unterlaufen. Damit
sollte
Beständen
Matrix leere/mit Null gefüllte Felder
verschiebt er jedoch die natürliche
Gleichverteilung herrschen. Dies ist
erscheinen. Steht an diesen Stellen
Ziffernhäufigkeit, und fällt beim
z.B. bei den Zählerständen von
jedoch eine Zahl > 0, so ist dies die
Benford-Test durch einen „Peak“ bei
maschinellen Zählwerken der Fall,
Anzahl
der 9 oder bei der 99 auf.
die nicht stückzahl-, sondern zeit-
gegen die Regelung, und kann quan-
abschnittbezogen
titativ bewertet oder gezielt einer
in
natürlichen
arbeiten
(eine
Nicht bei diesen Beispielen sind die
Postöffnungsmaschine zählt alle von
Erschwernisse der Praxis, die meist
07:00
etwas mit der regelgerechten Ver-
Poststücke). Ist hier eine auffällige
schiebung des erwarteten Ziffern-
Häufung von „00“-Werten festzu-
wertes zu tun haben. Beispiel: Ein
stellen, so wurde die maschinelle
Unternehmen erwirbt im Rahmen der
Zählung
Neuausstattung der Arbeitsplätze be-
gangen.
bis
10:00
h
Vertriebswege
der
verkauft
Verstöße/Ausnahmen
Detailselektion unterworfen werden.
geöffneten
möglicherweise
über-
Regelbasierte Prüfung
Hierbei ist ein Wandel in der Art der
Dienstleistung erkennbar, die eine
sonders günstig Workstations mit
Prüfsoftware erbringen soll. Wäh-
einem hohen Mengenrabatt, 500
Für die digitale Prüfung sind die
rend die Entwicklungen der 90er
Stück zu 999.– €. Die Benford-Prü-
Arbeiten von Prof. Nigrini sehr zu
Jahre vor allem darauf abzielten,
fung der Inventar-Werte würde in
empfehlen,
vom
dem Prüfer eine möglichst reich-
diesem Fall ebenfalls einen mar-
klassischen Benford-Test eine Viel-
haltige Palette an mathematischen
kanten Peak im Bereich der 9 oder
zahl
Ziffern-
und kombinatorischen Werkzeugen
der 99 auswerfen. Hintergrund ist
orientierten Tests entwickelt hat, die
in die Hand zu geben, geht der Trend
dann aber mitnichten manipulatives,
eine Untersuchung von Datenbestän-
derzeit eher in die Richtung, dem
sondern vielmehr gewünschtes und
den
Prüfer vorbereitete Programmabläufe
effizientes, Verhalten.
mäßigkeiten ermöglichen.
von
der
ausgehend
Zahlen-
nach
und
bestimmten
Unregel-
zu bieten, die praktisch eigenständige Untersuchungen durchführen.
Es macht daher Sinn, bei der digitalen Untersuchung eines Datenbe-
Grundsätzlich ließen sich viele dieser
Utilities
Serviceprogramme auch mit den be-
standes die Regeln, die zur Ziffern-
reits bekannten Prüfprogrammen und
ausformung gerade dieses Bestandes
Forensische Arbeit erfordert nicht
deren jeweiligen Kommando-Spra-
führen, vorher zu bedenken und
grundsätzlich
Prüfpro-
chen erstellen; die Frage ist aller-
seine Erwartungshaltung daran aus-
gramme. Oft sind es kleinere Unter-
dings, ob Programmier-Know-how
zurichten.
stützungstools, welche die prüfe-
und Zeiteinsatz dies für die Prüfung
rische Suche erleichtern, wie z.B. die
akzeptabel erscheinen lassen.
komplexe
Über die klassische Benford-Analyse
Verwendung von Kreuzreferenzen.
hinaus sind auch andere digitale Prü-
Ein einfaches Beispiel: Es liegt eine
Ist nun der qualifizierte Prüfer über-
fungen durchaus erfolgversprechend.
große Datei mit Verkaufsdaten vor.
flüssig geworden? Macht Kollege
So ist auch die sog. Hill-Verteilung
Je Satz Verkauf sind die Artikel-
Computer die Arbeit? Gewiss nicht,
9
„Deutschland“
denn auch die Tools, die selbständig
höheren
bestimmte Analysen durchführen,
stellt.
Verarbeitungsebene
dar-
Umso mehr ist auf den Gehalt von
neu am Markt erscheinenden Pro-
bedürfen der intensiven prüferischen
dukten zu achten, da zu diesen aus
Nacharbeit. Ein Beispiel: Ein Tool,
verständlichem verkäuferischem Be-
das verschiedene Arten von Daten-
Auswirkungen
mühen die Fähigkeiten – und dazu
zählt in letzter Zeit auch „forensisch“
beständen interpretieren kann, forganzes
Es besteht daher m.E. kein Anlass
– der Software überdeutlich heraus-
Bündel von Regeln, die es aus der
zur Sorge, dass Software-Tools die
stellen. Ein Werkzeug, dass mir vor
Zusammensetzung eines Bestands
Arbeit des Revisors auf Dauer über-
kurzem angeboten wurde, und aus-
abgeleitet hat. Dazu werden auch die
flüssig machen könnten. Im Gegen-
drücklich als forensisch bezeichnet
Fälle benannt, die den identifizierten
teil: Gerade die Werkzeuge, die sich
wurde, konnte bei näherem Hinsehen
Regeln nicht folgen, und als Aus-
„forensisch“ nennen, fordern die an-
Datenbestände
nahmen gekennzeichnet. Hier setzt
wendenden Prüfer in besonderem
Formate und die Darstellung der
nun das Können des Prüfers ein, das
Maße hinsichtlich ihrer Analyse- und
Dateninhalte untersuchen. Dies mag
in der Bewertung der Auswertungs-
Bewertungsfähigkeiten. Verfehlt wä-
für bestimmte Einsatzgebiete durch-
ergebnisse liegt. So ist die Frage zu
re daher eine allzu euphorische Er-
aus sinnvoll sein, ob es aber dem
stellen, ob die maschinell identifi-
wartungshaltung an ein Werkzeug,
Anspruch, als forensische Prüfungs-
zierten Regeln tatsächlich auf defi-
das man neu erworben hat und nun
unterstützung zu wirken, standhält,
nierte Regeln zurückgehen, oder auf
mehr hofft, dass damit Wunderdinge
mag dahingestellt sein.
der zufälligen Massenverkettung von
möglich sind. Software-Tools sind
unabhängigen Datenbereichen be-
Arbeitserleichterungen, keine Mittel
ruhen.
zur Arbeitsverhinderung. Sie er-
Michael Neuy,
möglichen aber eine neue Qualität
GEZ Gebühreneinzugszentrale, Köln
muliert
selbständig
ein
Des Weiteren ist zu prüfen, welcher
der Prüfungsprozesse, indem sie dem
Art und Natur die herauskristalli-
Prüfer neu
sierten
Regelabweichungen
Aspekte prüferischer
sind.
Kreativität eröffnen. So macht es in
Theoretisch kann es sich dabei um
der Praxis eben doch Sinn, unge-
manipulierte Vorgänge handeln, die
wöhnliche und scheinbar aussichts-
durch ihren Regelverstoß nun auf-
lose
fallen, und bisher in der großen
forschen. Was früher unter Auf-
Datenmenge verborgen waren. Ge-
wandsgesichtspunkten eher hinten
nauso gut ist vorstellbar, dass es sich
anstehen musste, kann nun mit Hilfe
zwar um Regelverstöße im Sinne der
hochqualifizierter Tools den Blick
Datenkonstellation
auszu-
nicht
auf sowohl getarnte dolose Hand-
aber um Manipulation, sondern um
lungen, als aber auch auf komplexe
gewollte
Irrtumswege moderner IT-gestützter
und
handelt,
Datenkonstellationen
kontrollierte
Aus-
nahmefälle. Letztlich kann gerade in
Prozesse, leiten.
komplexen Systemen ein scheinbarer
Regelverstoß vorliegen, der aber nur
Abschließend sei noch ein Wort zur
darauf beruht, dass die vom Prüftool
Marktlage gesagt. Die Anwendung
dargestellte Einzelregel nur Teil
von Softwaretools zur Prüfungs-
eines größeren und komplexeren
unterstützung
Regelwerks ist, so dass die auto-
schon seit Jahren eingeführte Tech-
matisierte
Regel-
nik. Trotzdem ist der Einsatz in der
verstoß identifiziert, der letztlich nur
Praxis nicht durchgängig, da dies
eine Datenkonstellation auf einer
sehr stark von Kenntnisstand und
Prüfung
einen
(CAAT)
ist
zwar
Motivation der Prüfer abhängig ist.
10
auf
die
Art
der
„Deutschland“
mySAP ERP bietet nicht nur die
Sarbanes-Oxley und die Folgen
Architektur
für
Rechnungslegung
und Corporate Governance, sondern
Transparenz im Finanzberichts-
umfasst auch eine Reihe von Anwendungen in diesem Bereich.
wesen durch Einsatz von
SAP-Lösungen
Management des internen
Kontrollsystems (MIC 1.0)
Weltweit brennt SAP-Kunden die
n Sicherheitskontrollen, zum Bei-
Einhaltung des Sarbanes-Oxley-Acts
spiel Passwörter, die nach einigen
Unternehmen, die bei der US-ameri-
unter den Nägeln: So wird ihnen die
Wochen geändert werden müssen.
kanischen Securities and Exchange
Einrichtung eines Prüfungsausschus-
n Berichtskontrollen, wie Bestäti-
Commission (SEC) eingetragen sind,
ses (Audit Committee) vorgeschrie-
gungsberichte, dass die in die SAP-
müssen die Einhaltung des Ab-
ben und ihr Vorstand verstärkt in die
Lösung für den Vertrieb einge-
schnitts 404 des Sarbanes-Oxley-
Pflicht genommen. Gemeinsam mit
gebenen Summen korrekt im SAP-
Acts bis 2004/2005 gewährleisten,
Pricewaterhouse-Coopers hat SAP
Finanzberichtswesen wiedergegeben
abhängig von Standort und Größe
ein Lösungsportfolio entwickelt, das
wurden.
des Unternehmens. Nach diesem
den Anforderungen umfassend genügt.
Abschnitt sind sie verpflichtet, GeDiese Kontrollen unterstützen Kun-
schäftsprozesse zu dokumentieren,
den optimal bei der Umsetzung des
die maßgeblich für die Finanzbe-
Unternehmen, welche die Standard-
Sarbanes-Oxley-Acts. Weitere Vor-
richterstattung sind. Darunter fällt
funktionen von SAP einsetzen, ver-
teile liegen in einer verbesserten
auch die Dokumentation von Pro-
fügen bereits über eine solide Grund-
Systemintegration und der Einbin-
zessrisiken und Kontrollen. Darüber
lage für eine genaue und sichere
dung von Anwendungen, die speziell
hinaus muss regelmäßig geprüft wer-
Buchhaltung und Corporate Gover-
Corporate
die
den, wie wirkungsvoll die Kontrollen
nance. So ermöglichen die integrier-
Rechnungslegung
Sarbanes-
konzipiert und praktisch umgesetzt
ten
seit
Oxley unterstützen. Diese Anwen-
werden; erhebliche Schwierigkeiten
zentraler Bestandteil der
dungen sind in mySAP ERP und SAP
sind
NetWeaver integriert.
mySAP ERP MIC wird eine Lösung
Kontrollmechanismen,
Jahren
SAP-Architektur, eine verantwortungsvolle
Rechnungslegung.
Governance
nach
und
Sie
umfassen:
der
SEC
mitzuteilen.
Mit
angeboten, die Kunden in allen PhaEine verbesserte Systemintegration
sen der Umsetzung von Abschnitt
führt nicht nur zu einer geringeren
404 unterstützt.
n Inhärente Kontrollen, zum Bei-
TCO (Total Cost of Ownership),
spiel das Belegprinzip: Jede Bu-
sondern erhöht auch die Trans-
chung im SAP-System erhält eine
parenz der Finanzberichterstattung.
Belegnummer, über die der Infor-
SAP NetWeaver, die neue Plattform
mationsfluss nachvollzogen werden
für mySAP ERP, erleichtert die
AIS dient seit langem als zentraler
kann.
Systemintegration und verringert so-
Speicher für Berichte zur Unter-
n Konfigurierbare Kontrollen, wie
wohl die Komplexität als auch den
stützung von System-, Geschäfts-
ein automatischer Workflow, der die
Bedarf an kundenspezifischen An-
und
Genehmigung eines Managers für
passungen. Durch die gesteigerte
Systemen. Um auch die Anfor-
Kundenaufträge erfordert, die eine
Transparenz werden darüber hinaus
derungen des Sarbanes-Oxley-Acts
bestimmte
die Systemaudits durch interne und
zu erfüllen, wurde AIS um SEM
externe Prüfer vereinfacht.
Business Consolidation erweitert und
schreiten.
Größenordnung
über-
Audit Information System (AIS)
Steuerprüfungen
von
R/3-
bietet damit einen prozessorientierten Ansatz bei der Prüfung von
11
„Deutschland“
Purchase-to-Pay- und Order-to-CashProzessen.
Sarbanes-Oxley-Act
Professionelles Management
Whistleblower-Meldungen
interner Kontrollen
Abschnitt 301 des Sarbanes-Oxley
Acts
verpflichtet
Unternehmen,
Unternehmen zeigen sich aus ver-
Vorteile. Das Management erhöht
einen Prozess einzurichten, durch
schiedenen Gründen bestrebt, die
die Prozesssicherheit und kann ange-
den Mitarbeiter anonym Unregel-
Wirksamkeit ihres internen Kon-
fertigte Dokumentationen für zusätz-
mäßigkeiten in der Rechnungslegung
trollsystems (IKS) sicherzustellen.
liche Optimierungen und Effizienz-
melden können. Whistleblower-Mel-
Sie erfüllen hierdurch nicht nur
verbesserungen nutzen. Wirksame
dungen sind ein HTML-gestützter
gesetzliche Anforderungen wie den
Kontrollen tragen darüber hinaus
Service, der im Rahmen von mySAP
Sarbanes-Oxley-Act (SOA), sondern
dazu
ERP zur Verfügung gestellt wird.
profitieren beispielsweise von erhöh-
schlagungsfällen
ter Prozesssicherheit oder Effizienz-
beugen. Das IKS kann einen wesent-
Der Sarbanes-Oxley-Act fordert vor
steigerungen. PwC hat eine Best-
lichen Bestandteil von Enterprise-
allem eine größere Transparenz im
Practice-Methodik entwickelt, die
Risk-Management-Systemen bilden.
Finanzberichtswesen. Zu den Zu-
Unternehmen in Projekten unter-
Aus Sicht der Shareholder schützt
satzfunktionen von mySAP ERP, die
stützt, ihr IKS professionell zu
das IKS ihre Kapitalanlage und ver-
eine unterstützende Rolle spielen,
managen.
bessert Transparenz und Vergleich-
gehören:
bei,
Betrugs-
und
Unter-
(„fraud“)
vorzu-
barkeit der Unternehmen auf dem
n (Neues) Hauptbuch
Spektakuläre
und
Kapitalmarkt. PwC hat zahlreiche
n Fast Close
Unternehmenszusammenbrüche auf
IKS-Projekte und seit August 2002
n Unterstützung für IAS
den
Kapitalmärkten
zahlreiche SOA-Projekte durchge-
n Transparenz für Basel Il
rücken Corporate Governance ver-
führt oder begleitet und auf der
n Transferpreisfindung
stärkt in den Fokus von Gesetz-
Grundlage dieser Erfahrungen eine
n SEM Business Consolidatian
gebern und Investoren. Insbesondere
Best-Practice-Methodik
n SEM Business Planning
der SOA, aber auch andere Ge-
Sie ermöglicht ein professionelles
n SEM Strategy & Performance
setzesinitiativen, adressieren das IKS
Management interner Kontrollen in
Management
als wichtigen Baustein von Cor-
einem sechsphasigen Projektansatz
n SEM Risk Management
porate Governance. So schreibt das
und kann sowohl für SOA-Com-
n Treasury9
US-Gesetz unter anderem vor, dass
pliance- als auch bei allgemeinen
n Qperational Risk Management
das Management ein wirksames IKS
IKS-Projekten eingesetzt werden.
Finanzskandale
weltweiten
entwickelt.
der Finanzberichterstattung einrichEine wachsende Zahl von Unter-
ten, pflegen und jährlich durch den
nehmen ist vom Sarbanes-Oxley-Act
Abschlussprüfer
betroffen,
muss. Generelle Ziele des IKS sind,
nachdem
vergleichbare
testieren
lassen
1. Festlegung der
Projektorganisation und
des Scopes
Gesetze in Frankreich und den
Unternehmensaktivitäten
Niederlanden bereits erlassen und für
Richtlinien und Regeln zu steuern
die EU geplant sind. Mit mySAP
sowie die Einhaltung dieser Rege-
In der Anfangsphase des Projekts ist
ERP und SAP NefWeaver sind die
lungen zu überwachen.
es notwendig, die Projektorganisa-
durch
Betriebe für die Umsetzung dieser
Richtlinien bestens gerüstet.
tion und den Projektumfang (Scope)
Unabhängig von etwaigen gesetz-
als Basis für spätere Phasen zu be-
lichen
ein
stimmen. Einen wichtigen Teil der
Katharina Reichert
effektives und effizientes IKS auch
Projektorganisation bildet die Fest-
SAP AG, Waldorf
aus Unternehmenssicht zahlreiche
legung von Projektzielen. In der
12
Anforderungen
bietet
„Deutschland“
Praxis hat sich eine Definition
Informationen
bei-
ablaufenden Prozesse. Darauf auf-
abstrakter
als
Experten
steuern, Entscheidungsvorlagen er-
bauend ist zu untersuchen, welche
Compliance bis zum Datum x) und
stellen,
Relevanz die identifizierten Prozesse
deren Herunterbrechen in operatio-
helfen, die Projektziele zu erreichen.
Oberziele
(z.B.
SOA
und
dem
Unternehmen
hinsichtlich der Rechnungslegungselemente und Offenlegungspflichten
nalisierte Teilziele bewährt. Das
aufweisen.
ermöglicht eine regelmäßige Mes-
Die Festlegung des Projektumfangs
sung des aktuellen Zielerreichungs-
(Scope) erfolgt durch die Auswahl
grads. Alternativ oder ergänzend
relevanter
Unternehmenseinheiten
Die IT-Infrastruktur und die darin
können Minimal- und erweiterte
und Bestimmung der wesentlichen,
abgebildeten Prozesse besitzen eine
Ziele formuliert werden, um bei-
für die Projektziele relevanten, Pro-
große Bedeutung für die Ordnungs-
spielsweise eine Zielpyramide umzu-
zesse. Die Einbindung einer zu ge-
mäßigkeit und Verlässlichkeit der
setzen.
ringen Anzahl von Unternehmens-
Finanzberichterstattung eines Unter-
einheiten
angestrebten
nehmens. Deshalb ist vor allem bei
Die Festlegung der Projektstruktur
Ergebnisse (z.B. Effizienzverbesse-
SOA-404-Projekten sicherzustellen,
umfasst die Auswahl der Projekt-
rungen) verringern. Zusätzlich be-
dass der Scope des Projekts zu-
beteiligten sowie die Bestimmung
steht bei SOA-404-Projekten die
sätzlich auf die relevanten Bereiche
der ihnen zugeordneten Rollen. Die
Gefahr, dass die Anforderungen des
der Informationstechnologie ausge-
aktive und unternehmensweite Ein-
Gesetzes nicht erfüllt werden und der
dehnt wird. Ein eigener Abschnitt am
bindung von Prozess- und Kontroll-
Abschlussprüfer das Vorgehen des
Ende dieses Artikels widmet sich
managern als Basis einer Pyramide
Managements
unzureichender
diesen Besonderheiten. Vorab ist
kann helfen, die Verantwortung für
Abstimmung bemängelt. Zur Aus-
jedoch anzumerken, dass sich die
das Projekt in die Gesamtorgani-
wahl
Ausführungen zu den nachfolgend
sation einzubetten.
empfiehlt
kann
der
die
bei
Unternehmenseinheiten
verschiedene
beschriebenen Phasen ebenfalls auf
„harte“ und „weiche“ Kriterien zu
die verschiedenen Kontrollen im
An der Spitze der Pyramide befindet
bestimmen. Diese können sowohl
Bereich der IT beziehen.
sich der Lenkungsausschuss (Stee-
Bilanz- und GuV-Kennzahlen mit
ring Committee) als oberstes Ent-
entsprechenden Wesentlichkeitsgren-
Am Ende der ersten Projektphase
scheidungsgremium. Dessen Aufga-
zen umfassen, als auch besondere
liegt eine Zusammenstellung der
ben bestehen unter anderem in der
Risiken der Geschäftstätigkeit be-
relevanten
Genehmigung von Projektstrategie
rücksichtigen.
einschließlich der jeweils signifikan-
es
sich,
Unternehmenseinheiten
ten Prozesse vor.
und -methode sowie des Projektplans
und der Bereitstellung von Res-
Nachdem relevante Unternehmens-
sourcen. Abweichungen von der
einheiten bestimmt wurden, erfolgt
Projektstrategie sowie Maßnahmen
im nächsten Schritt die Auswahl von
zur Beseitigung gravierender Schwä-
signifikanten
chen sind vom Steering Committee
der jeweiligen Einheiten. Bei SOA-
zu autorisieren. Seine Zusammen-
404-Projekten besteht das Ziel unter
setzung sollte den Besonderheiten
anderem darin, Prozesse mit beson-
des Projekts Rechnung tragen. Mit-
derer Bedeutung für wesentliche Ele-
Das Ziel der zweiten Projektphase
glieder des Gremiums können daher
mente der Rechnungslegung (Bilanz-
bildet die Dokumentation der iden-
CFO/Projektsponsor,
und
Projektleiter,
Prozessen
GuV-Positionen)
im
innerhalb
2. Prozess- und
Kontrolldesign
dokumentieren und
bewerten
sowie
für
tifizierten Prozesse und vorhandenen
Rahmen
Vertreter des Rechnungswesens, des
Offenlegungen
der
Kontrollen sowie die Bewertung des
Risk Managements, der Internen
Finanzberichterstattung (Significant
konzeptionellen Aufbaus (Kontroll-
Revision oder der Rechtsabteilung
Accounts and Disclosures) zu identi-
design). Hierzu empfiehlt sich die
sein. In das Projekt eingebundene
fizieren. Das empfohlene Vorgehen
Erstellung eines zentralen Organisa-
Abschlussprüfer oder externe Berater
beginnt mit einer Strukturierung und
tions-
können beispielsweise zusätzliche
Aggregation der in den Einheiten
höchster Unternehmensebene, um
und
Prozesskatalogs
auf
13
„Deutschland“
ein einheitliches Vorgehen zu gewährleisten und Synergie-Effekte zu
3. Kontrollschwächen
beheben
empfohlene Vorgehen ist von den
Projektzielen und – damit verbunden
– den regulatorischen Anforderungen
erzielen. Inhalt des Katalogs bilden
unternehmensweit vorhandene Pro-
Ausgangsbasis für die dritte Phase
(z.B. SOA) abhängig. In jedem Fall
zesse, Risiken und Kontrollziele,
bildet eine Zusammenstellung iden-
sollte das Management ein ange-
wobei der anzustrebende Detaillie-
tifizierter, validierter und priori-
messenes Maß an Sicherheit erzie-
rungsgrad von der Homogenität bzw.
sierter Kontrollschwächen als Ergeb-
len, was nicht gleichbedeutend mit
Heterogenität
nis des Design Assessments (Phase
einem Test aller vorhanden Kontrol-
2) oder der durchgeführten Wirksam-
len sein muss.
der
Unternehmens-
strukturen abhängt.
keitstests (Phase 4). Abhängig von
Aufbauend auf dem zentral erstellten
Art und Ausmaß der Schwäche sind
Planung
und
Durchführung
von
Katalog erfolgt die Detaildokumen-
im nächsten Schritt entsprechende
Kontrolltests werden unter anderem
tation in den jeweiligen Unter-
Korrekturmaßnahmen zu definieren.
von Art und Bedeutung der Kon-
nehmenseinheiten.
Kontroll-
Sie können beispielsweise in der
trolle sowie der Häufigkeit der Aus-
dokumentation erfordert meist be-
Einführung neuer oder der Änderung
führung beeinflusst. Manuelle Kon-
sonderes Fachwissen, das nicht not-
bestehender Kontrollaktivitäten, der
trollen sind intensiver und umfang-
wendigerweise in den Einheiten
Entfernung redundanter Kontrollen
reicher zu testen als automatisierte
vorhanden ist. Deshalb ist frühzeitig
oder
von
Kontrollen. Gleichzeitig steigt die
die Einbindung zusätzlicher Ressour-
Prozessen bestehen. PwC empfiehlt,
Anzahl der Testdurchläufe mit zu-
cen (z.B. Interne Revision, externe
geplante Maßnahmen unternehmens-
nehmender Häufigkeit der Kontroll-
Berater) zu prüfen, um erfolgs-
weit in standardisierten Maßnahmen-
ausführung. Die Auswahl der zu
kritische Terminüberschreitungen zu
plänen zu erfassen. Hierdurch kön-
testenden Kontrollen sollte die zu
vermeiden.
nen notwendige Informationen struk-
kompensierenden Risiken innerhalb
turiert aufbereitet und als Vorlage für
des gesamten IKS angemessen be-
Bei der Bewertung des Kontroll-
das
rücksichtigen.
designs ist zu untersuchen, ob eine
Projektleitung oder Steering Com-
Kontrolle hinsichtlich ihrer Ausge-
mittee) zusammengestellt werden.
Verlässliche Kontrolltests erfordern
staltung theoretisch geeignet ist,
Die behobenen Kontrollschwächen
den Einsatz von ausreichend ge-
Risiken innerhalb eines Prozesses
sollten nach der Behebung überprüft
schultem Personal. Entsprechende
auf ein akzeptables Maß zu redu-
werden, um sicherzustellen, dass das
Mitarbeiter müssen unabhängig und
zieren. Dies erfolgt sowohl auf
Design und die Wirksamkeit der be-
dürfen daher nicht gleichzeitig für
Ebene der isolierten einzelnen Kon-
troffenen Kontrollen den Anforde-
die Ausführung der Kontrolle ver-
trolle als auch auf der Prozessebene.
rungen entsprechen.
antwortlich sein. Empfohlen ist der
Die
der
Vereinheitlichung
Entscheidungsgremium
(z.B.
Die Prozessdesign-Bewertung unter-
Einsatz von Personal der Internen
sucht vor allem, ob sich die Kon-
Revision, die Bildung von speziellen
trollen innerhalb des Prozesses an
der richtigen Stelle befinden und ob
4. Wirksamkeit des IKS
testen
Kontrollgruppen oder die Einbindung externer Berater. Zusätzlich ist
es erforderlich, die Tests einschließ-
Prozessrisiken nicht oder nur unvollständig durch Kontrollen abgedeckt
Der
von
lich der Testergebnisse zu dokumen-
werden.
Kontrollschwächen
Phase 2 und 3 stellt sicher, dass das
tieren, um sie später nachvollziehen
identifiziert wurden, sind diese zu
IKS theoretisch geeignet ist, die
zu können.
dokumentieren und durch den Kon-
identifizierten Risiken ausreichend
trollverantwortlichen zu validieren.
zu kompensieren. Zusätzlich sollte
Analog zu Phase 2 sind die iden-
die Wirksamkeit der Kontrollen im
tifizierten Kontrollschwächen zu do-
laufenden Betrieb beurteilt werden,
kumentieren und zu validieren. Ab-
was die Planung und Durchführung
hängig vom Ausmaß der Schwäche
Falls
von
14
erfolgreiche
Kontrolltests
Abschluss
erfordert.
Das
„Deutschland“
sollten Maßnahmenpläne erstellt und
gemäß Phase 3 umgesetzt werden.
6. Attestieren und
berichten (SOA-404Projekte)
Unterstützung durch SoftwareTools
Zahlreiche Unternehmen betrachten
5. Sign-off und
Managementberichterstattung (SOA404-Projekte)
Gemäß den Bestimmungen des SOA
die Einführung eines geeigneten
und des vom Public Company Ac-
Software-Tools als kritischen Er-
counting Oversight Board (PCAOB)
folgsfaktor und planen, dies bei-
veröffentlichten
Prüfungsstandards
spielsweise zum Aufbau eines Enter-
ist der Abschlussprüfer aufgefordert,
prise-Risk-Management-Systems zu
Mittels Sign-off übernehmen die
zwei getrennte Beurteilungen vorzu-
nutzen. Das Tool kann in allen
einzelnen
Unternehmenseinheiten
nehmen. Er ist verpflichtet, sowohl
Phasen unterstützend eingesetzt wer-
(z.B. durch CEO oder CFO als SOA-
das IKS der Finanzberichterstattung
den und erleichtert unter anderem die
Champions des Teilkonzerns) die
als auch die abgegebene Erklärung
strukturierte Dokumentation, die ein-
Verantwortung für die Wirksamkeit
des Managements zu bewerten. Bei
heitliche Kontrollbewertung, das Re-
des IKS in ihrem Verantwortungs-
der Bewertung der Erklärung wird
porting von Kontrollschwächen und
bereich. Bestehende Kontrollschwä-
der Abschlussprüfer zusätzlich den
die Nachvollziehbarkeit durch den
chen werden dem Konzernvorstand
Prozess beurteilen, wie das Manage-
Abschlussprüfer. Dessen Nutzung
berichtet, damit er die Auswirkung
ment zu seiner Einschätzung gelangt
erfolgt kontinuierlich auch nach
der wesentlichen Schwächen auf das
ist. Das exakte Prüfungsvorgehen
Projektende, weshalb die Software-
gesamte Unternehmen einschätzen
des Abschlussprüfers ist einzelfall-
Auswahl den Besonderheiten des
kann.
abhängig und berücksichtigt zum
Projekts und der IT-Struktur des
Beispiel
Unternehmens
Erfahrungen
der
Ver-
Rechnung
tragen
Nach SOA ist das Management ver-
gangenheit oder besondere Risiken
muss. Der Einsatz eines Tools erfor-
pflichtet, einen Bericht zur Gesamt-
und Geschäftspraktiken. Maßgeblich
dert die Durchführung geeigneter
wirksamkeit des IKS der Finanz-
ist sein Handeln vom Prüfungs-
Endanwender-Schulungen. Eventuel-
berichterstattung
standard des PCAOB bestimmt.
ler Zeitdruck, die Verfügbarkeit zu-
abzugeben.
In
sätzlicher Ressourcen und die Situa-
diesem Bericht sind wesentliche, als
Unternehmensmanagement
tion in den ausgewählten Unter-
Kontrollschwächen nach außen offen
empfiehlt PwC, das Vorgehen und
nehmenseinheiten sind daher ange-
zu legen. Für den Bericht können die
die Anforderungen des Prüfers früh-
messen zu berücksichtigen.
oben genannten Sign-offs aggregiert
zeitig zu berücksichtigen. Dies um-
und als Basis für die geforderte
fasst zum Beispiel die Abstimmung
Bewertung genutzt werden (Bottom-
des Scopings und der Vorgehenswei-
Strukturierte Beurteilung der
up-Vorgehen). Bestehen im Unter-
sen zur Erreichung der (Teil-)Pro-
IT-Kontrollen
nehmen Kontrollschwächen, sollte
jektziele sowie die frühzeitige Kom-
das Management sicherstellen, dass
munikation
Schwä-
Computergestützte Informationssys-
identifizierte Schwächen entweder
chen einschließlich der Korrektur-
teme besitzen einen großen Anteil an
wirksam beseitigt werden oder nur
maßnahmen. Ziel ist, den Abschluss-
der Erfassung, Verarbeitung, Spei-
einen vernachlässigbaren Einfluss
prüfer zu unterstützen und in der
cherung und Berichterstattung von
auf die Wirksamkeit des gesamten
Konsequenz den Prüfungsaufwand
relevanten Daten der Rechnungs-
IKS haben.
gering zu halten.
legung. Aus diesem Grund sind
„Material
Weakness“
eingestufte,
Dem
identifizierter
Unternehmen zur Erfüllung der Anforderungen
des
Sarbanes-Oxley-
Acts zusätzlich aufgefordert, eine
umfassende Beurteilung der IT-Kontrollen vorzunehmen. Nicht nur, dass
die Bedeutung von IT-Kontrollen in
15
„Deutschland“
Unternehmen vielfach unterschätzt
sagen zu bestimmten Anwendungen
Funktionstrennung innerhalb eines
wird. Darüber hinaus fehlen oftmals
oder Anwendungsmodulen. Letztere
Bereichs sowie zwischen verschiede-
geeignete
unterstützen,
über-
nen Abteilungen zu realisieren. Es
Werkzeuge
und
Vor-
steuern
und
gehensweisen, einschließlich eines
wachen
Geschäftspro-
besteht ein enger Bezug zwischen
konsistenten Rahmenwerks, um eine
zesse. Die Geschäftsprozesse selbst
den Geschäftsprozessen und den zu-
strukturierte Bewertung vorzuneh-
beinhalten wiederum eine Vielzahl
grunde
men. Im folgenden soll ein Überblick
interner Kontrollen (Business Pro-
weshalb
über die verschiedenen Formen von
cess Controls). Sie bilden insgesamt
Bewertung der Zugriffsberechtigun-
Kontrollen im Bereich der Informa-
das Steuerungs- und Überwachungs-
gen von Mitarbeitern durch die
tionstechnologie einschließlich der
system des Unternehmens und sollen
jeweiligen
IT-Security gegeben werden. Ausser-
zur risikoorientierten Überwachung
erfolgen sollte.
dem widmet sich ein eigener Ab-
der Finanzberichterstattung beitra-
schnitt den oft vernachlässigten Risi-
gen.
bestimmte
liegenden
eine
Anwendungen,
Überwachung und
Prozessverantwortlichen
ken, die sich durch den Einsatz von
Risiken durch den Einsatz von
Spreadsheets als Teil der Finanz-
Spreadsheets
Kontrollen zur IT-Security
berichterstattung ergeben.
Verschiedene
Ebenen
helfen
zu
schützen Systeme und
Die einfache Handhabung und die
Anwendungen
weite Verbreitung von Tabellenkalkulations-Anwendungen
unterscheiden, welche Art von Kon-
führen
trollen auf Anwendungs- und Sys-
Besonderer Stellenwert ist Kontrol-
dazu, dass Unternehmen oftmals
temebene erforderlich sind.
len zur IT-Security beizumessen, die
Spreadsheets sowohl im operativen
den Zugang zu den IT-Systemen des
Geschäft als auch im Rahmen der
Auf der Ebene der allgemeinen
Unternehmens
Finanzberichterstattung
Computerkontrollen
IT
wachen. Dies bezieht sich sowohl
Eventuelle Risiken, die sich aus der
Controls) ist sicherzustellen, dass
auf die Anwendungsebene, als auch
Komplexität und dem Anwendungs-
rechnungslegungsrelevante Informa-
den Bereich der allgemeinen Com-
zweck
tionen trotz oftmals heterogener
puterkontrollen. Effektive Kontrollen
Programmen ergeben, dürfen nicht
Hardware-Landschaften
zeitnah,
schützen nicht nur das Vermögen des
unterschätzt werden. Dies gilt ins-
vollständig und richtig zwischen den
Unternehmens, sondern stellen darü-
besondere hinsichtlich der Finanz-
verschiedenen Systemen übertragen
ber hinaus die Integrität der Finanz-
berichterstattung, denn auch einfache
werden. In der Praxis zeigt sich, dass
berichterstattung sicher.
Kalkulationen können ein hohes
die
Schnittstellen
(General
zwischen
regeln
und
über-
von
einsetzen.
Tabellenkalkulations-
Fehlerrisiko in sich bergen. Das
den
Systemen eine besondere Betrach-
Auf Ebene der General Computer
Risiko steigt zusätzlich durch die
tung erfordern, da die beschriebene
Controls hat das Unternehmen den
Verwendung von Makrofunktionen,
Übertragung in vielen Fällen zu
Zugang zu den Systemen und Netz-
die unbemerkt und im Hintergrund
Fehlern führen kann und teilweise
werken nach Außen hin zu schützen,
eventuell fehlerhafte Berechnungen
auch führt. So ist zumindest sicher-
was in aller Regel dem Verant-
durchführen. Die Praxis zeigt, dass
zustellen, dass Fehlerberichte auto-
wortungsbereich der IT-Organisation
fehlende Kontrollen über Spread-
matisch generiert, zeitnah ausge-
übertragen werden sollte.
sheets bereits zu wesentlichen, teils
materiellen,
wertet und durch die Zusammen-
Falschaussagen
von
Unternehmen geführt haben.
arbeit zwischen IT und betroffenen
Auf der Anwendungsebene hingegen
Geschäftsbereichen bearbeitet wer-
regeln IT-Security-Kontrollen den
den.
Zugriff der Mitarbeiter auf die Tran-
Um diesem Risiko zu begegnen, ist
saktionen und weitere Daten inner-
es Unternehmen empfohlen, zu-
Anwendungskontrollen (IT Applica-
halb der eingesetzten IT-Anwendun-
nächst
tion Controls) beziehen sich vorwie-
gen. Die Kontrollen tragen darüber
Spreadsheets in wesentlichen Pro-
gend auf transaktionsorientierte Aus-
hinaus dazu bei, eine angemessene
zessen der Finanzberichterstattung
16
zu
identifizieren,
welche
„Deutschland“
zum Einsatz kommen. Darauf auf-
Publikation zum Thema
bauend ist die Komplexität der
Sarbanes-Oxley-Act: Professionelles
verwendeten Spreadsheets zu analy-
Management
sieren, um die erforderlichen Kon-
Christof
trollen
ein-
Catherine Jourdan et al., Mai 2004,
zurichten. Letztere können beispiels-
382 Seiten, Hardcover, ISBN 3-
weise aus einem Zugriffsschutz auf
7910-2284-9,
die Datei selbst oder auf einzelne
Menzies,
Eingabebereiche des Tabellenblatts
Schäffer-Poeschel Verlag
zu
bestimmen
und
interner
Menzies,
PwC,
Kontrollen,
Alan
Hrsg.
Martin,
Christof
Frankfurt/Main,
bestehen. Zusätzlich ist es ratsam,
Veränderungen an den eingesetzten
Kalkulationsfunktionen des Spreadsheets zu formalisieren. Durch eine
Versionskontrolle
wird
zusätzlich
sichergestellt, das ausschließlich die
aktuellste Version des Spreadsheets
verwendet wird.
Die
dargestellte
Best-Practice-
Methodik für IKS-Projekte kann
lediglich einen Überblick über die
typischen Projektphasen sowie die
Besonderheiten von Kontrollen im
Bereich der Informationstechnologie
geben. Es wird jedoch deutlich,
welche Rolle eine strukturierte Vorgehensweise bei einem Projekt zum
professionellen Management interner
Kontrollen spielt. Hierdurch ist es
möglich, die Zeit- und Terminplanung des Projekts einzuhalten und
so die Basis für ein kontinuierlich
wirksames IKS zu schaffen.
Christof Menzies und
Thomas Heinze,
PricewaterhouseCoopers,
Frankfurt/Main
Gerne beantworten wir Ihre allfälligen Fragen
[email protected]@,
Tel.: (0 69) 95 85-11 22
[email protected]@,
Tel.: (0 69) 95 85-11 65
17
Risk Management
Risk Management
Ces chiffres, et ceux qui suivent, sont
L’auditeur informatique ou la
(l’Association Française de l’Audit
maîtrise des risques
en coopération avec le cabinet ASK
issus d’une étude menée par l’AFAI
et du Conseil en Informatique) – et
Conseil – en juin 2003 auprès de ses
adhérents,
L’auditeur informatique (ou auditeur
des systèmes d’information) évalue
les risques potentiels d’un environ-
La sécurité, principale
préoccupation des
auditeurs informatiques
nement informatique, d’une applica-
auditeurs
internes
ou
externes, pour mieux cerner leurs
profils et leurs problématiques.
Les auditeurs interviennent en pre-
tion ou d’un projet. Il ne s’agit pas
D’où viennent-ils, quelles sont leurs
mier lieu dans des missions concer-
seulement d’améliorer la sécurité
préoccupations,
principales
nant la sécurité logique (80%), la
physique ou logique mais également
difficultés ? Les réponses en chiffres
conduite de projets (68%), la revue
de garantir la qualité des systèmes
avec les résultats d’une étude de
d’environnement informatique (66%)
informatiques ou leurs capacités à
AFAI-ASK Conseil (08/10/2004).
ou sur les ERP et revue d’appli-
leurs
répondre aux besoins de l’entreprise
ou du client.
cations (58%). Ils sont 58% à
La plupart des auditeurs informa-
considérer être sollicités trop tard,
tiques ont d’abord exercé d’autres
notamment sur les projets. Les
Souvent liés aux métiers du conseil,
fonctions, souvent plus opération-
principales raisons invoquées pour
de la sécurité ou du contrôle, le
nelles (chef de projet pour 30%
l’expliquer sont d’ordre budgétaire,
métier d’auditeur informatique recèle
d’entre eux, responsables informa-
liées au mode d’intervention en
plusieurs facettes. Si les auditeurs
tique/SI
financier/
correctif plutôt qu’en préventif, à la
sont souvent des gestionnaires avec
bancaire – 14%) que techniques
sécurité non intégrée dès le début du
quelques connaissances informati-
(responsable sécurité – 6%, analyste
projet avec manque de sensibilisation
ques ou des informaticiens avec une
programmeur – 6% – ou ingénieur
des responsables en entreprises et
compétence
le
d’études – 8%). La majorité d’entre
parfois à un climat de méfiance entre
métier est accessible à plusieurs
eux sont issus de cursus universitaire
informatique et audit.
profils. Et les compétences infor-
(38%), d’écoles d’ingénieur (25%)
matiques ne sont pas les plus
ou de gestion (16%).
organisationnelle,
ou
auditeur
recherchées car l’auditeur n’est pas
un technicien, davantage un généraliste de l’organisation et des systè-
Domaines dans lesquels les auditeurs informatiques
sont les plus fréquemment sollicités
mes d’information, souvent issu des
Domaines
Pourcentage
Sécurité logique
80%
Conduite de projets
68%
Revue environnement informatique
66%
ERP/Revue d'application
58%
tout dans un contexte ou l’amélio-
Production
54%
ration de la sécurité et du contrôle
Maitrise d'ouvrage et Cahier des charges
54%
des procédures est de plus en plus à
Analyse de données
50%
l’ordre du jour. Nous avons recueilli
Développement et rôle des études
46%
les témoignages de plusieurs d’entre
Recettes
42%
eux, ils nous font partager leurs
Qualité du code et réalisation
30%
Autre
20%
milieux financiers ou de la gestion.
Parfois
considérés
comme
des
«gendarmes», les auditeurs exercent
pourtant un métier nécessaire, sur-
expériences.
Source : AFAI, Enquête auditeurs informatiques, juin 2003
18
Risk Management
rencontrées par les auditeurs infor-
Fiche métier
Profil et carrière Le métier peut s'exercer en entreprise (essentiellement
dans les secteurs de l’industrie, les institutions financières et
l'administration) ou dans des cabinets d'audit ou de conseil.
Un auditeur, comme un consultant, passe le plus souvent
par différentes étapes professionnelles au cours de sa
carrière : junior en début de parcours, puis senior, manager
avant d'espérer atteindre des postes de direction.
Principales
missions
(selon le Syntec
Informatique)
Formation
Langues
Compétences
Salaire
Améliorer la sécurité des systèmes, garantir la qualité des
informations transmises, tels sont les principaux objectifs
d'un auditeur travaillant dans le département informatique
d'une entreprise. Pour remplir cette mission, il effectue une
analyse régulière des systèmes d'information, une phase
indispensable pour identifier les améliorations à apporter.
Ensuite, il doit suivre et accompagner la mise en place de
ses préconisations. Il peut également contribuer à l'élaboration de la politique de sécurité informatique et participer à
la veille technologique.
MIAGE, Ecoles de commerce, Ecole d'ingénieurs, MSG,
Bac+4/5 audit, systèmes d'information ou sciences
économiques.
La maîtrise de l'anglais est souvent indispensable. La
pratique d'une deuxième langue est très souhaitée
(allemand ou espagnol).
Bonne connaissance des systèmes d'information, faculté
d'adaptation (essentiellement pour les auditeurs
«externes»), capacités d'écoute, d'analyse et de synthèse,
qualités rédactionnelles.
Pour un auditeur junior
(0 à 2 ans d'expérience)
Pour un auditeur senior
(3 à 5 années d'expérience)
Niveau manager
(6 à 7 ans d'expérience)
Perspectives
de 24 à 35 KEuros
de 36 à 50 KEuros
matiques comme le manque de disponibilité des audités, leur réticence
face à leurs interventions, le manque
de documentation interne ou la
difficulté de convaincre les audités à
suivre les plans d’actions et les
recommandations.
Les étapes les plus délicates à gérer
pour eux sont, par ordre d’importance, la conduite du changement, les
missions en sécurité et réseaux,
l’audit
d’applications
spécifiques
métier, la stratégie informatique,
l’infrastructure technique et la définition du cahier des charges. Leurs
principaux sujets de préoccupations
sont liés aux sollicitations des clients
puisqu’ils indiquent à 74% la sécurité, des sujets connexes à la gestion
de projets comme les coûts (52%) et
le retour sur investissement (36%), la
maîtrise applicative (38%) ou la
qualité (32%).
A noter que les auditeurs sont loin de
maîtriser totalement toutes les problématiques de leur métier, ils sont
ainsi 76% à faire appel à des experts
entre 55–70 KEuros
juridiques, fiscaux ou techniques sur
certains points de leurs missions
Un jeune directeur associé peut espérer gagner à partir de
80 KEuros
(22% souvent, 54% un peu). Les
Selon l'APEC, le métier d'auditeur informatique offre de
belles perspectives, l'élargissement des missions d'audit
vers des fonctions opérationnelles et informatique tirerait la
croissance dans les métiers d'audit.
L'auditeur informatique est de plus en plus demandé par les
entreprises appelées à vérifier leurs circuits d'information
pour prendre en compte la part des risques laissée par le
traitement informatique. C'est le cas des grands cabinets
d'audit qui se spécialisent dans le conseil en informatique
(sécurité, progiciel, pilotage de projet…).
(78%) des méthodes d’audit (COBIT,
auditeurs utilisent aussi en majorité
ITIL ou autres).
Faire de la maîtrise des risques une
priorité, c’est la principale recommandation énoncée par les auditeurs
pour faciliter l’exercice de leur
métier. Ils indiquent également la
définition d’un cadre méthodologique
ou
la
sensibilisation
des
acteurs de l’entreprise à la valeur
ajoutée de l’audit informatique.
A cela s’ajoute d’autres difficultés
19
Forum
Sur les 50 professionnels dont les
questionnaires ont été traités, 70%
Forum
étaient des auditeurs internes, 30%
des auditeurs externes. La plupart
d’entre eux avaient entre 5 et 10 ans
Hallo Max
Nein im Ernst, das Anliegen der
d’expérience.
Ich beziehe mich kurz auf deine
„C“-Branche wurden bisher (unter
Frage betreffend der Bedeutung des
anderem
„C“ in dem Ausdruck ICT. Ich bin
Ausdruck „IT“ zu wenig beachtet
der
Repris avec la permission de l’AFAI
auch)
wegen
unserem
oder teilweise vergessen. Ein Bei-
Zeitalter das „C“ unbedingt zu dem
spiel: Bei den Ausbildungsfragen hat
Ausdruck dazu gehört. Ich verstehe
man Jahre lang nur von Infor-
unter „C“ommunication tatsachlich
matikern
auch den gewöhnlichen Telefon- und
Telematiker völlig vergessen.
Meinung,
dass
in
geredet
und
Funkverkehr bzw. die Technologie,
die zum Managen sehr IT(Data)-
Freundliche Grüsse
lastig geworden ist und immer mehr
Tarik Oelmez
mit IT(Data) zusammen schmilzt, ich
Leiter TeleCom MTLS
meine nicht nur VoIP sondern auch
Mettler-Toledo GmbH
UMS, CTI im konventionellen Um-
Naenikon
feld usw. Wenn man nur von IT
spricht, versteht ein „gewöhnlicher“
Mensch, wie dieser auch in Bern zu
finden ist, nur das Windows und
ERP :-).
Ein Preusse reiste über Braunschweig nach Hessen,
Und wollte in Bayern mit Lederhosen sich messen.
Er erwischte aber den falschen Zug und fuhr –
Richtig: Statt zur Isar zum Rhein und zur Ruhr.
Statt in München tat er in Essen nun Kirschen essen.
There was an auditor fellow from Germany
He managed to commit many a felony.
He would not listen to reason –
The judge sent him to prison.
And there he found everything else but harmony.
20
diesem
z.B.
die
Express Line
spectively. The copy deadline for
Express Line
volume 2 is 1 December 2004, and
the theme is IT Governance. The
copy deadline for volume 3 is 1
A Word from the Chair
Beginning
in
November
2005 Bulletins of
Information Available
February 2004, and the theme is the
Value of IT. For more information,
2004,
please
view
the
2005
editorial
ISACA International Headquarters
A copy of the 2005 Bulletin of Infor-
calendar at www.isaca.org/journal or
will annually provide chapters with
mation for each certification can be
e-mail [email protected].
CISA® and CISM® pins free of
obtained via ISACA’s web site
charge. Chapters will receive pins for
(www.isaca.org) in a downloadable
those members fully certified from 1
format or requested from the certifi-
January 2003 through 31 October
cation department at
2004, along with a complete list of
[email protected].
names and designations. ISACA
encourages chapters to acknowledge
the accomplishments of these CISAs
CISA Job Analysis
and CISMs by hosting an event to
present the pins. Local chapter
To date, task force meetings, focus
support of these professionals should
groups and interviews with subject
result in additional membership,
matter experts have been conducted.
membership retention and increased
The purpose of these activities has
attendance at chapter educational
been to create a current view of the
events.
tasks performed by CISAs and the
knowledge required to perform these
tasks. The final step of the study was
Sunil Bakshi
the conduct of a detailed survey last
Chair, Membership Board
month with a sample of 3,000 CISAs
worldwide to validate and comment
on this work. The results will now be
Certification Update
reviewed by the CISA Certification
Board and will help ensure that the
ISACA has applied with the Ameri-
CISA examination continues to meet
can National Standards Institute
the highest standards for professional
(ANSI) for ANSI accreditation of the
certification and is representative of
CISA and CISM certification pro-
the work and knowledge required of
grams. ANSI accreditation is based
CISAs in practice.
on the new International Standard
ISO/IEC17024, “General Requirements for Bodies Operating Certification
Systems
of
Persons,”
which is expected to play a prominent
role
in
News Briefs
facilitating
Journal Update
global
standardization of the certification
The Information Systems Control
community,
mobility
Journal® is seeking articles for
among countries, enhancing public
volumes 2 and 3, 2005, to be issued
safety and protecting consumers.
in March and
increasing
May 2005,
re21
The ISACA Crossword Puzzle
The ISACA Crossword Puzzle 5/04
Dieses Rätsel ist auf englisch und hat
mit dem Schwerpunktthema dieser
1
2
Nummer zu tun. Autor ist der Resind
an
ihn
4
5
9
daktor. Lösungen, Kommentare und
Reklamationen
3
zu
6
7
8
10
12
11
13
14
15
richten.
16
Across: Gabriel is one of them (pl); 9
form of to have; 10 metallic mineral;
11 CS Rubidium; 12 part of Ger-
17
20
21
24
25
18
22
26
19
23
27
man capital; 14 be confounded (sh
= 1 ch); 16 Gaelic Ireland; 17 as
28
29
30
good as dynamite; 19 Roman greeting; 20 capital of 15 down; 22 the
relief baseball pitcher’s pride (pl); 24
United States Steamer; 25 cloth
31
32
36
37
border; 27 tin vessel; 28 sailor; 31
bakery product; 33 beginning and
end of Greek alphabet; 34 any
Roman should have been able to
count
to
this;
36
these
Germans
have
ancient
33
38
40
43
34
39
41
44
42
45
48
49
35
46
50
47
51
East
British
relatives (pl); 38 being upright; 40
the sharp base key in music; 41
52
53
54
57
58
colour; 42 this (F); 43 the long
60
61
55
56
59
62
63
country in South America lacks the
last character; 45 i.e. in German; 46
Arab prince; 48 junk food, if
combined with a canine creature; 49
64
65
66
68
67
69
this German river is predominant
in England; 51 preposition; 52
Down: 1 instrument for splitting
face; 30 duck type Nordic bird; 31
striking off the initial “o”, JFK
wood; 2 connected series of links
science of the soul; 32 set in motion;
claimed to be one; 55 every boy
(pl); 3 a German Anne; 4 enquire; 5
35 urge; 37 lubricant; 39 can be high
starts that way; 57 article (I); 58
flowing garment; 6 German pro-
or low, but it needs an "i"; 41
canary type bird; 60 that is how the
noun; 7 Becky’s sister in the Old
German river; 44 tramp; 45 Donald
teeny-weeny yellow polka dot bikini
Testament; 8 shrub (pl, sh = 1 ch);
Duck’s darling in the plural; 47 short
starts; 62 formal expression of
11 blackbird; 12 “the” German
mother; 49 this modern “letter” lacks
opinion (pl); 64 this African country
homeland; 13 not this; 15 Southern
all vowels; 50 send signals to the
lost its vowels; 66 flat cap; 67
German State; 16 Australian ost-
brain (pl); 53 rodent; 54 tumult; 56
followed one in Roman times; 68
rich; 18 initials of Huck Finn’s
initial ground; 59 no preferred suit in
type of seagoing vessel (pl); 69 five
friend; 21 same as 2 down; 23 lacks
bridge (abb); 60 the “h” is missing at
equal consonants.
a return in tennis; 26 film star
the end of this small measure; 61 so
Farrow’s first name; 29 part of the
be it without a sound; 63 usually
22
The ISACA Crossword Puzzle
very cold in Germany; 65 CS
Lösung 4/04: regulieren
Barium.
Senkrecht: 1 A(r)zt; 2 hellrot; 3 Ai; 4
WG; 5 Bo; 6 Schei(n); 7 les; 8 Ob; 9
Es wurden weniger als fünf Lösun-
Beule; 10 Elle; 11 Ill; 12 leiern; 14
gen eingesandt.
Tuecken; 15 Licht; 16 Kontrollsysteme;
Die Lösung liegt in den markierten
18 allerlei; 21 Ern; 24 Oer; 25 SH; 26
Feldern. Dieses Wort ist auf einer
Waagrecht: 1 aha; 5 BS; 7 Leo; 9 Beil;
Herpes; 28 FK; 29 En; 31 Einer; 35
Postkarte
M.F.
13 Zeitglocke; 17 Baelle; 19 T(ei)l; 20
heben; 36 Gerte; 40 Fe; 42 liq; 43 Stoos;
Bretscher, Oberrenggstrasse 8, 8135
Hose; 22 Lully; 23 loeschen; 27 Rolle;
44 Tadel; 46 Oz; 49 (Inter)net; 51
Langnau a/A. Lösungen werden auch
28 Frechheiten; 30 EE; 31 er; 32 Kork;
Summe; 52 Bedenken; 53 Ea; 54
entgegengenommen unter der e-
33 TR; 34 Rn; 35 H(uman) R(esources);
Wissen; 57 Tn; 60 nennbar; 63 trennen;
mail-Adresse
35 Gin; 37 et; 38 pro; 39 helfen; 43 Sn;
65 extrem; 67 re; 69 Argus; 71 Oge(r);
[email protected].
44 té; 45 lo; 48 Beeren; 50 ist; 52
72 an; 74 leset; 75 beg; 76 (Al)oisiu(s);
Einsendeschluss ist der 20. Januar
Baselzwei; 55 tre; 56 quoted; 58 As; 59
77 ue; 78 Sils; 81 Eia; 83 Uwe; 85 and;
2005.
in; 60 NE; 61 Mondes; 62 yes; 63 je; 65
87 Do; 89 Nr; 90 or; 91 Tu(tu).
zu
senden
an
Ems; 66 el; 67 RS; 68 SA; 70 Nora; 73
If there are less than 5 answers, or
Xe; 74 ln; 75 Betoerungen; 78 Sekte; 79
Watson: Der Buchstabe V fehlt im
the solution has not been found, the
eingeben; 80 Reise; 82 gums; 84 na; 86
Alphabet (die fehlende Nummer 41
$US 50 go into the Watson Jackpot
eilend; 88 Weinsorten; 92 Mast; 93 Ode;
war nicht beabsichtigt).
to be carried forward to the next
94 Ur; 95 und.
Keine richtige Lösung, somit befin-
issue. Watson: Each puzzle contains
den sich US$ 100.– im Watson-
some anomaly that is to be detected.
Jackpot.
If correctly identified, the Watson
Jackpot is broken and replenished
with $US 50 for the next issue.
acrossview v Dr. Josef Kurmann
Independent Guidance & Assurance
Sarbanes-Oxley Consulting for Business & IT Controls
IT Governance Consulting
Project Management & Coaching
Project Audit & Assurance Services
acrossview v Dr. Josef Kurmann
Peter Merian-Strasse 58
4002 Basel
Tel. +41 61 205 44 33
[email protected]
23
DACH-News
Fréquence par branches
DACH-News
e. Ces tests sont systématiques dans
le domaine bancaire et dans les
D:
CH:
assurances, où ils sont effectués
annuellement ou tous les deux ans.
Member Entwicklung des
ISACA German Chapter
f. D’autres entreprises actives dans
Tests de pénétration en
Suisse
des domaines sensibles (notamment
télécommunications ou sécurité) ou
disposant d’applications ouvertes sur
Mit großer Freude können wir auf
eine äußerst positive Entwicklung
A la demande d’un organe parle-
l’extérieur (portails Internet) effec-
der Mitgliederzahlen des ISACA
mentaire, le Contrôle fédéral des
tuent également régulièrement de tels
German Chapters in den letzten
finances
tests.
Jahren zurückblicken. Aus diesem
enquête auprès de quelques spé-
g. Plusieurs administrations canto-
Grund wollen wir in diesem News-
cialistes de l’audit informatique, afin
nales effectuent ponctuellement ou à
Letter einmal die Entwicklung gra-
de faire un état des lieux sur les tests
intervalle régulier de tels audits.
fisch vorstellen, insbesondere, da wir
de pénétration en Suisse. Les points
h. Ces tests ne sont que très peu
die magische Größe von 700 Mit-
suivants peuvent être intéressants
pratiqués dans le domaine industriel
glieder überschritten haben. Die Zah-
pour les membres de l’ISACA:
ou commercial.
Méthodes
Michel Huissoud
a
effectué
une
rapide
len stammen jeweils aus dem Monat
Dezember, lediglich die Mitgliederzahl für 2004 stammt aus dem
Vice-directeur CDF
Oktober.
a. La notion de « tests de pénéVorstand ISACA German Chapter
tration » couvre des activités qui
vont de la tentative de pénétrer dans
800
700
600
500
400
300
200
100
0
un système à l’aveugle et sans avertissement préalable des utilisateurs à
une
démarche
2001
2002
2003
2004
précédée
du
Aufgrund eines Auftrags einer Par-
système. Cette dernière démarche est
lamentskommission hat die eidg.
celle que la majorité des intervenants
Finanzkontrolle eine Umfrage bei
préconise.
einer Anzahl von Informatikspezia-
b. Certaines entreprises confient à
listen in der Schweiz durchgeführt.
des externes des tâches de sur-
Ziel der Übung war, einen aktuellen
veillance permanente qui peuvent
Stand über die Art der Penetrations-
comprendre des tests de pénétration.
tests in der Schweiz zu erhalten. Die
c. De tels tests sont souvent intégrés
folgenden Feststellungen könnten für
dans les tests précédant la mise en
alle Mitglieder der ISACA inte-
production de nouvelles applications
ressant sein:
d’une
2000
ouverte
Tigerattacken in der
Schweiz
analyse
des
lacunes
ouvertes sur Internet (par exemple à
Genève pour le e-voting).
d. Ces
effectués
tests
par
sont
des
externes à l’entreprise.
généralement
Methoden
spécialistes
a. Der
Begriff
„Penetrationstest“
wird nicht überall gleich verstanden.
Die Interpretationen reichen vom
24
DACH-News
„Blindekuhspiel“ bis zu einer unter
Mitwirkung aus dem Benutzerkreis
Die CISA-Vorbereitungskurse sind Spitze!
„unterstützten“ Attacke. Die Mehrheit der Befragten bekannte sich zum
Blödsinn?
Um die zwanzig unentwegte Neu-
Peter Bitterli rapportiert:
letzteren Konzept.
gierige wagten sich am 20. Oktober
2004 ins Landesmuseum zum bei-
b. Gewisse Unternehmen vergeben
Wir haben in unseren Kursen gleich
nahe schon traditionellen After Hour
die Überwachung ihrer Netzwerke an
zwei neue Rekorde aufgestellt:
Seminar des ISACA Switzerland
Dritte. Deren Aktivitäten können
Chapters. Angesagt war die The-
durchaus auch Penetrationstest ent-
Im CISM-Kurs haben 83.33% (5 von
matik
halten.
6) die Prüfung 2004 bestanden.
Wintersport. Als derjenige Schwei-
c. Solche Tests werden oft einge-
Dieser neue Rekord war leicht, da
zer, der nie auf Skiern oder Snow-
setzt, bevor eine Anwendung der
wir bis anhin keinen CISM-Kurs
boards stand, war ich besonders
Produktion freigegeben wird (z.B.
hatten.
gespannt, was dies denn mit Infor-
die elektronischen Abstimmungen
Risikomanagement
im
matikrevision oder -sicherheit zu tun
im Kanton Genf).
Im CISA-Kurs haben 95.24% (20
d. Die Tests werden mehrheitlich
von 21) die Prüfung 2004 bestanden.
durch externe Spezialisten ausge-
Dies übertrifft unseren bisherigen
Peter Bitterli präsentierte die Beob-
führt.
Rekord aus dem Jahr 2002 (91.4%)
achtungen des Bergführers Werner
haben könnte.
Munter. Dieser hatte vor über einem
CISA-/CISM-
Jahrzehnt die traditionellen Ansich-
Abendessen (im Anschluss an das
ten bezüglich Lawinenauslösung und
Am
Häufigkeit nach Branchen
diesjährigen
After-Hour Seminar vom 20. Okto-
-sicherheit über Bord geworfen und
e. Am häufigsten sind solche Tests
ber
ein
bei Banken und Versicherungen
gebührend gefeiert.
2004)
wurde
entsprechend
„einfaches“
Instrument
zur
Risikobeurteilung entwickelt: Die
anzutreffen, wo sie jährlich oder zu-
Formel der Reduktionsmethode und
mindest alle zwei Jahre durchgeführt
3x3 (nicht 4x4!). Sehr „einfach“
werden.
behauptet er, das Gefahrenpotential
f. Andere
Branchen
verwenden
sei zu beziffern und durch erkannte
diese Art Tests nur in sensiblen Be-
Reduktionsfaktoren zu teilen. Ist das
reichen
und
Resultat unter 1, ist das Risiko
Sicherheit) oder wo gegen aussen
(Telekommunikation
akzeptabel. Die 3x3-Methode als
„offene“
Ergänzung setzt die (Wetter-)Ver-
Systeme
zum
Einsatz
gelangen (Internet).
hältnisse, das Gelände und den Men-
g. Mehrere kantonale Behörden und
schen regionalen, lokalen und zona-
Ämter führen derartige Tests punk-
len Gegebenheiten in einer Matrix
tuell oder regelmässig durch.
gegenüber. So einfach. So einfach?
h. Im kommerziellen Sektor und bei
der Industrie gelangt diese Art von
Peter Bitterli vermittelte den Ein-
Tests sehr wenig zum Einsatz.
druck, dass er von der Methode
überzeugt ist. Mit Statistiken und
illustrativen
Beispielen
inklusive
Michel Huissoud
Videofilm versuchte er zu belegen,
Vizedirektor eidg. Finanzkontrolle
dass
die
Methode
funktioniert.
Schliesslich vermutete er, dass es so
Übersetzung: Max F. Bretscher
etwas auch für die Informatikrevision geben müsste. Nur die
richtigen Faktoren wären zu finden.
25
DACH-News
Seiner Erfahrung nach liegen die
Hauptursachen
für
„Computer-
unfälle“ seit Jahrzehnten beim Menschen und der Organisation.
Auf die Frage angesprochen, ob
jemand ein solches 3x3-Instrument
begrüssen
würde,
Anwesenden
bezeugten die
praktisch
alle
ihre
Zustimmung.
Die anschliessende Diskussion stellte
in der Folge die Behauptung auf,
wenn ein solches Instrument zur
Verfügung stünde, wären wohl Informatikrevisionen (Bitterli’s Behauptung folgend) auf das Begutachten
von Organigramm und Anstellungs-
Ableitungen zulässt. Eine Schutz-
politik beschränkt. Somit wären wir
behauptung?
bald überflüssig. Bemerkung: Wurden durch die 3x3-Methode Berg-
Zurück zum Informatik 3x3: Wie
führer überflüssig?! Experten sind
wäre es mit den Risikofaktoren
eben nötig, um die richtigen Faktor-
Software, Zugriff, Zutritt, Mensch
ziffern zu bestimmen.
(Betreiber
und
User)
und
den
zweiten Dimensionen Theorie und
Ebenso wurde angeführt, dass viele
Praxis? Dies wäre dann zwar 4x2,
Informatikbetreiber die Warnfinger
aber
der Informatik- und Sicherheits-
schlauere Idee, um unseren Beruf-
revisoren missachten und sich trotz
stand zu eliminieren?
immerhin.
Wer
hat
eine
„roter Situation“ den Befehl zum
Vormarsch in die „Lawinengebiete“
Zum Schluss noch drei wurmstichige
geben. In diesem Zusammenhang sei
Bemerkungen:
darauf verwiesen, dass in den Dolo-
n Es tat wohl, an einer ISACA-
miten im ersten Weltkrieg etwa
Veranstaltung einmal etwas anderes
50 000 Soldaten in Lawinen um-
als ausschliesslich Informatikprob-
kamen, von denen gerade in den
leme zu wälzen.
letzten Wochen einige mumifizierte
n Ein Chefoperateur eines dama-
Österreicher von den Schneemassen
ligen Grosscomputers sagte schon
freigegeben wurden…
1969 (!) zu mir: „Wer meinen Computer benutzt, ist selber schuld.“
Weiter wurde vermutet, dass die
n Peter Bitterli brach sich im
Natur (auch wenn sie sehr komplex
Februar
sein mag) gewissen Regeln folgt,
skifahren den Oberschenkel.
und
Schlussfolgerungen
2003
gezogen
werden können, die rasante Entwicklung der Informatik dagegen
keine „mathematisch formelhaften“
26
Max F. Bretscher
beim
Varianten-
DACH-News
News aus den
Interessengruppen
IG Government IT-Audit
avec la recherche, l’acquisition et
(„Closed user group“)
l’analyse de preuves informatiques,
tous les intéressés de tout niveau de
connaissance sont les bienvenus.
Michel Huissoud, CISA, CIA
IG Operational IT-Risk
Eidg. Finanzkontrolle/
Contrôle fédéral des finances
Neu!
Monbijoustr. 45
IG Einführung von
3003 Bern
IT-Governance
Peter R. Bitterli
Tel. +41 31 323 10 35
Bitterli Consulting AG
Fax. +41 31 323 11 00
Rolf Merz
Konradstrasse 1
[email protected]
Ernst & Young AG
Brunnhofweg 37
8005 Zürich
Tel. + 41 1 440 33 60
La participation à ce groupe est
Postfach 5032
Fax. +41 1 440 33 61
réservée
3001 Bern
[email protected]
organes de contrôle.
aux
collaborateurs
des
Tel. +41 58 286 66 79
Fax. +41 58 286 68 27
[email protected]
Die Interessensgruppe “Operational
IT-Risk“ hat sich in den vergangenen
IG Computer Forensics
schäftigt, welche (IT-) Sicherheitsanforderungen in den verschiedenen
Letzte Sitzung: Kick-off Sitzung am
4. März 2004, bei Ernst & Young
Monaten intensiv mit der Frage beNouveau!
AG, Zürich
Gesetzen und Verordnungen (Basel
Paul Wang
Nächste
II, EBK-Richtlinien, HIPAA, CFR
PricewaterhouseCoopers
2004, 13.30–17.00 Uhr bei Ernst &
Sitzung:
14.
Dezember
11, EU Datenschutzgesetz, DSG und
Avenue Giuseppe-Motta 50
Young AG, Zürich
VDSG usw.) vorkommen. Die Arbeit
1211 Geneva 2
hat zu ein paar interessanten Er-
Tel. +41 22 748 56 01
Traktanden:
kenntnissen aber wenig direkt in die
Fax. +41 22 748 53 54
n Präsentation
Praxis umsetzbaren Ergebnissen ge-
Mobile: +41 79 220 54 07
Pilotprozesse PO1 und PO10
führt.
[email protected]
n Festlegen Weiteres Vorgehen
Die Interessengruppe “Operational
L’objectif de ce groupe de discussion
IT Risk” plant in der jetzigen Phase
lié aux « Computer Forensics », est
eine Kochbuch-ähnliche Anleitung
de fournir un forum d’intérêt et
Weitere Interessenten können sich
für das Management von IT-Risiken,
d’information sur les méthodologies
bei Rolf Merz anmelden.
welche vor allem für KMU, für
et les outils de ce qu’on appelle
Unternehmen ohne grosse Sicher-
communément en français « Assis-
heitsanforderungen an die IT oder
tance informatico-légale » Ce forum
für die ersten Schritte in ein um-
offre la possibilité de partager des
fassenderes
IT-Risikomanagement
idées, des technologies, des outils et
Vacant : touts personnes intéressées
(analog COBIT Quickstart) gedacht
certainement aussi des notions juri-
à participer ou animer un groupe de
ist. Für diese zweite Phase werden
diques de ce domaine en constante
travail ou tous ceux qui aimeraient
noch zwei bis drei neue Mitglieder
évolution. Ce groupe de discussion
proposer un thème de réflexion
gesucht; arbeitswillige Personen mit
abordera également des discussions
peuvent s’annoncer auprès de M.
genügend Zeit sollen sich bitte (er-
techniques et procédurales sur les
Paul Wang.
neut) an den IG-Leiter wenden.
prérequis en matière de recherche de
[email protected]
der
beiden
n Themen, Ziele und Organisation
der nächsten Sitzung
IG Romandie
preuves informatiques. Même si les
participants doivent être familiers
27
DACH-News
IG Outsourcing/Insourcing
Ulrich Engler
Nächste Sitzungen: Für Informatio-
n Im Portal im UME muss ange-
nen melden Sie sich bitte bei Daniel
geben werden, auf welche Daten der
Oser.
Zugriff erlaubt ist.
Swiss Life
n Die Java-Entwicklung sollte in
CF/REV HG 3151
einem EU-Umfeld (EntwicklungsIG SAP R/3
General-Guisan-Quai 40
unit) gemacht werden.
n Java ist schwierig zu prüfen,
Postfach, 8022 Zürich
Telefon +41 43 284 77 58
Monika E. Galli Mead
eigentlich fast unmöglich.
Telefax +41 43 284 47 33
Eidg. Finanzkontrolle
n Man kann aber die Rückmeldung
[email protected]
Monbijoustrasse 51a
(XE)
3003 Bern
Prüfverfahren einzurichten.
Nächste Sitzung: Offen. Interessen-
Tel. +41 31 324 9495
n Man sollte die Schnittstellen von
ten melden sich bei Ueli Engler.
Fax. +41 31 323 1101
SAP (Web AS) verwenden.
[email protected]
Wegen
prüfen;
dazu
ist
Sicherheitsrisiken
ein
ist
es
besser erst ab Web AS 6.40 und XE
Mögliche Themen: Kontiniuität des
Insourcers, Abhängigkeit vom In-
Aus dem Protokoll der IG-SAP vom
Java zu verwenden.
sourcer (Konkurs), Überarbeitetes
13. Mai 2004:
n Zur weiteren Sicherheit empfiehlt
Rundschreiben EBK, Fernwartung,
Herr Bolli (Bundesamt für Infor-
es sich, eine SSL-Zertifizierung zu
etc.
matik
machen.
und
Telekommunikation,
CCSAP Entwicklung und QualitätsGeplant sind Gespräche zum Thema
sicherung) zeigte die Veränderungen
Wie
„Grounding“ eines IT Service Provi-
auf, die durch den Einsatz von WEB-
Zukunft aus?
ders mit ausgewählten Gesprächs-
Applikations-Server und damit der
n ABAP wird mindestens noch
partnern aus den Bereichen Legal,
Programmiersprache Java auf uns
fünf Jahre zur Entwicklung verwen-
Service
zukommen.
det, nur neue Features und Portale
Provider,
Industrie
und
voraussichtlich
die
usw. verwenden heute schon Java.
Financial Services.
IG MIS/EIS/DWH
sieht
Der Input ins SAP-System kommt
n Web AS 6.40 wird mit ABAP
vom SAPGUI und vom Internet zum
verwendet und ist im Enterprise 4.7
Verbindungsserver und von da in
Release.
beiden Formaten zur Datenbank. Der
Leitung:
SAP WEB Dispatcher entscheidet
Herr Kowalski (Bundesamt für Infor-
Daniel Oser
auf welche Queue (Instanz) der Input
matik
Ernst & Young AG
geht.
CCSAP
und
Telekommunikation,
Entwicklung)
stellt
uns
CRM Internet Sales vor. Um die
Badenerstrasse 47
Postfach 5272
In Java wird weniger programmiert,
Regel des BIT „von aussen keinen
8022 Zürich
sondern vielmehr modelliert. Das
Zugriff auf innen“ zu beachten,
Tel. +41 58 286 34 39
Change Management System macht
wurde folgende Lösung angewandt:
Fax. +41 58 286 32 76
eine Versionen-Verteilung-Comp.
Kunde gibt Daten vom Internet
(aussen) und SAP holt sie ab (innen).
[email protected]
Wichtige Erkenntnisse:
Um den Ausgleich im FI-Bereich
Letzte Sitzung: Freitag, 16. Januar
n Java sollte nie direkt auf das
flüssig
2004, bei Ernst & Young AG, Zürich
SAP-System zugreifen, sondern über
Clearing der Kreditkarten mit der
API
Software „Matchbox“ gemacht.
(Application
Programming
zu
gestalten
wird
das
Traktanden:
Interface) auf die Datenbanken zu-
n Referenzmodell Data Load
greifen oder über UME-API (User
Das heisst: Aufwand verbucht =
n Risk Matrix
Management
Erlösminderung verbucht. „Match-
n Fact Sheets
Programming Interface).
28
Engine
Application
box“ mit Referenznummer kann
DACH-News
beim Input oder beim Clearing
installiert sein. Jedes Kreditinstitut
hat ein eigenes Format.
Frau Galli stellt kurz die Präsentation
„Stand der Sicherheit der in der
Schweiz eingesetzten SAP-Systeme“
von Herrn Altmeier, dem Leiter der
Arbeitsgruppe SAP der FGSec, vor.
Herr Altmeier hat diese Präsentation
beim Anlass der FGSec vom April
2004 vorgestellt. Einige der Anwesenden waren an dieser Veranstaltung.
Erfahrungsaustausch
n Die Liste der neuen Aktivitäten
im System unter Enterprise wird
nochmals versandt werden.
n Der Link zu Herrn Schiweks
AIS-Präsentation zu den Änderungen
mit Enterprise 4.7 wird nochmals
versandt werden.
n Eine Liste der neueren SAPHinweise im Zusammenhang mit
Security im SAP wird versandt
werden.
n Eine IBS-News-SAP über die
Zukunft mit SAP wird versandt
werden.
Interessenten
Monika
Galli,
können
Leiterin
sich
bei
IG-SAP
melden.
29
Veranstaltungen
Veranstaltungen
Praxisgerechte Anwendung des BS7799/ISO17799
22.–24. November 2004
Zürich, 3 Tage, ITACS Training AG
CISA Vertiefungskurs
26. November 2004 – 23. Mai 2005
Anmeldung noch möglich!
Zürich 17 Tage, ISACA CH / ITACS
CISM Vertiefungskurs
3. Dezember 2004 – 24. Mai 2005
Anmeldung noch möglich!
Zürich 13 Tage, ISACA CH / ITACS
BS7799 Lead Auditor Kurs
6.–10. Dezember 2004
Zürich, 5 Tage, Infosec
Service Management - ITIL Foundation Training – Auf der Basis de factoStandards ITIL mit Links zur BS 15000 Zertifizierung
16.–18. Februar 2005
Application Security Lab – Workshop zum Thema Sicherheit von
Web-Anwendungen
15.–17. März 2005
COBIT User Convention
11.–12. April 2005
Zürich, 3 Tage ISACA CH/glenfis
Zürich, 3 Tage, ISACA CH/Compass
TBA (Europa), 2 Tage, ISACA
Internet Security Lab – Workshop mit Angriffsszenarien und
Abwehrmassnahmen
20.–22. April 2005
Evidence Lab – Workshop über die Spurensuche in Computersystemen
11.–13. Mai 2005
Zürich, 3 Tage, ISACA CH/Compass
Zürich, 3 Tage, ISACA CH/Compass
ITIL Business Continuity and IT Service Continuity – Von Business
Continuity zur IT Disaster Recovery auf der Basis des de facto-Standards
ITIL
25.–27. Mai 2005
International Conference
19.–22. Juni 2005
Zürich, 3 Tage, ISACA CH/glenfis
Oslo, 4 Tage ISACA
30
Veranstaltungen
Kontaktadressen
Veranstalter
Hochschule für Technik Rapperswil
Marcus Evans
Institut für Internet Technologien
Weteringschans 109
und Anwendungen
1017 SB, Amsterdam
Der NewsLetter empfiehlt folgende
Oberseestrasse 10
The Netherlands
Veranstalter
8640 Rapperwil
Tel. +31 20 531 28 13
Tel. +41 55 222 41 11
Fax. +31 20 428 96 24
Fax. +41 55 222 44 00
www.marcusevansnl.com
(weitere
Kurse
Unterlagen direkt anfordern):
AFAI
und
[email protected]
MIS Training Institute
Tel. +33 1 55 62 12 22
[email protected]
IIR-Akademie
Nestor House
www.afai.asso.fr
Ohmstr. 59
Playhouse Yard P.O. Box 21
D-60468 Frankfurt/Main
GB-London EC4V 5EX
advanced technology seminars
Tel. +49 69 7137 69-0
Tel. +44 171 779 8944
Grundgasse 13
Fax. +49 69 7137 69-69
Fax. +44 171 779 8293
CH-9500 Wil
[email protected]
www.misti.com
Fax. +41 71 911 99 16
InfoGuard AG
MediaSec AG
[email protected]
Feldstrasse 1
Tägernstrasse 1
CH-6300 Zug
8127 Forch/Zürich
Stiftung für Datenschutz und
Tel. +41 41 749 19 00
Tel. +41 1 360 70 70
Informationssicherheit
Fax +41 41 749 19 10
Fax. +41 1 360 77 77
Dr. Beat Rudin
www.infosec.com
[email protected]
Postfach
Integralis GmbH
Secorvo Security Consulting GmbH
CH-4010 Basel
Gutenbergstr. 1
Secorvo College
Tel. +41 61 270 17 70
D-85737 Ismaning
Albert-Nestler-Strasse 9
Fax +41 61 270 17 71
Tel. +49 89 94573 447
D-76131 Karlsruhe
[email protected]
Fax +49 89 94573 199 fx
Tel. +49 721 6105-500
www.privacy-security.ch
[email protected]
Fax +49 721 6105-455
Tel. +41 71 911 99 15
Kirschgartenstrasse 7
[email protected]
ISACA CH
www.secorvo.de
e-tec Security
Kurssekretariat
PO Box 54
c/o ITACS Training AG
Treuhand-Kammer
Wilmslow Chesire SK9 6FU
Konradstrasse 1
Jungholzstrasse 43
United Kingdom
8005 Zürich
Postfach
[email protected]
Tel. +41 1 440 33 64
CH-8050 Zürich
Fax. +41 1 440 33 61
Tel. +41 1 305 38 60
[email protected]
Fax. + 41 1 305 38 61
D-40235 Düsseldorf
ISACA USA
ZfU Zentrum für
Tel. +49 211 96 86 300
3701 Algonquin Rd #1010
Unternehmensführung AG
Fax. +49 211 96 86 509
USA_Rolling Meadows IL 60008
Im Park 4
[email protected]
Tel. +1 847 253 15 45
CH-8800 Thalwil
Fax. +1 847 253 14 43
Tel. +41 1 720 88 88
www.isaca.org
Fax. +41 720 08 88
Euroform Deutschland GmbH
Hans-Günther-Sohl-Strasse 7
[email protected]
31
Germany Chapter
Germany Chapter
Vereinsadressen
Public Relations
Heinrich Geis
Geschäftsstelle
Deutsche Börse AG
ISACA e.V., German Chapter
Neue Börsenstrasse 1
Eichenstr. 7
D-60487 Frankfurt
D-46535 Dinslaken
Tel. +49 692 101 5149
Tel. +49 2064 733191
Fax. +49 692 101 4396
Fax. +49 2064 733192
[email protected]
[email protected]
Arbeitskreise und Facharbeit
Präsidentin
Bernd Wojtyna
Karin Thelemann
WLSGV-Prüfungsstelle
Ernst & Young AG
Regina-Portmann-Strasse 1
Wirtschaftsprüfungsgesellschaft
D-48159 Münster/Westfalen
Mergenthalerallee 10–12
Tel. +49 251 288 4253 oder
65760 Eschborn/Frankfurt am Main
+49 251 210 4539
Tel. +49 6196 99626 488
[email protected]
Fax. +49 6196 99626 449
[email protected]
Publikationen
Ingo Struckmeyer
Konferenzen
comdirect private finance AG
Markus Gaulke
Pascalkehre 15
KPMG
25451 Quickborn
Marie-Curie-Str. 30
Tel. +49 4106 704 2336
D-60439 Frankfurt
Fax. +49 4106 704 2301
Tel. +49 69 9587 2313
[email protected]
Fax. +49 69 9587 192313
[email protected]
CISA-Koordinator
Michael M. Schneider
Mitgliederverwaltung und
Deloitte & Touche
Kassenwart
Schumannstraße 27
Norbert Gröning
60325 Frankfurt am Main
PwC Deutsche Revision AG
Tel. +49-69 75606 121
Friedrich-List-Str. 20
Fax. +49-69 75695 84448
D-45128 Essen
[email protected]
Tel. +49 201 438 0
Fax. +49 201 438 1000
Norbert.Groening@
de.pwcglobal.com
32
Austria Chapter
Austria Chapter
Vereinsadressen
Kassier
Mag. Helmut Zodl
Vorsitzender (Präsident)
IBM Österreich
Ing. Mag. Dr. Michael Schirmbrand,
Obere Donaustraße 95
CIA, WP, StB
1020 Wien
Europa Treuhand Ernst & Young
Tel: +43 1 21145-0
Praterstraße 23
[email protected]
1020 Wien
Tel: +43 1 211 70-2831
CISA-Koordinator
[email protected]
Mag. Maria Rieder
Münze Österreich AG
Stellvertretender Vorsitzender I
Am Heumarkt 1
(Vizepräsident I)
1010 Wien
Dipl.-Ing. Maria-Theresia Stadler,
Tel: +43 1 71715-0
Österreichische Kontrollbank
[email protected]
Aktiengesellschaft
Strauchgasse 1–3
Public Relations/Newsletter-
1010 Wien
Koordination
Tel: +43 1 531 27-857
Rolf von Rössing
[email protected]
MA, D.E.s.s, CBCP, MBCI
Europa Treuhand Ernst & Young
Stellvertretender Vorsitzender II
Praterstraße 23
(Vizepräsident II)
1020 Wien
Mag. Josef Renner, StB
Tel: +43 1 211 70-2812
GRT Price Waterhouse
[email protected]
Prinz-Eugen-Straße 72
1040 Wien
E-Mail ISACA Austria Chapter:
Tel: +43 1 50188-0
[email protected]
Homepage ISACA Austria Chapter:
Sekretär
www.isaca.at
Mag. Gunther Reimoser, CISA
Europa Treuhand Ernst & Young
Praterstraße 23
1020 Wien
Tel: +43 1 21170-4113
[email protected]
33
Switzerland Chapter
Switzerland Chapter
Vereinsadressen
CISA/CISM-Koordinator
Marketing
Thomas Bucher
Bruno Wiederkehr
Präsidentin
Deloitte & Touche AG
Rigistrasse 3
Daniela S. Gschwend
Klausstrasse 4
CH-8703 Erlenbach
Swiss Re
8034 Zürich
[email protected]
Mythenquai 50/60
Tel. +41 44 421 64 22
8022 Zürich
Fax. +41 44 421 66 00
Homepage ISACA Switzerland
Tel. +41 43 285 69 36
[email protected]
Chapter: www.isaca.ch
Fax. +41 43 285 33 69
[email protected]
Sekretär
c/o Präsidentin
Vizepräsident
Michel Huissoud, CISA, CIA
Information & Kommunikation
Eidg. Finanzkontrolle/
Monika Josi
Contrôle fédéral des finances
Novartis Animal Health
Monbijoustr. 45
Global Information Technology
3003 Bern
WRO-1032.1.90
Tel. +41 31 323 10 35
4022 Basel
Fax. +41 31 323 11 00
Tel. +41 61 697 72 41
[email protected]
Fax. +41 61 697 78 44
[email protected]
Kassier
Adressmutationen bitte hier melden.
Pierre A. Ecoeur, CISA
Thurgauer Kantonalbank
Koordinator Interessengruppen
Bankplatz 1
Rolf Merz
8570 Weinfelden
Ernst & Young AG
Tel. +41 71 626 64 61
Brunnhofweg 37
Fax. +41 71 626 63 60
Postfach 5032
[email protected]
3001 Bern
Tel. +41 58 286 66 79
Ausbildung/Kurssekretariat
Fax. +41 58 286 68 27
Peter R. Bitterli, CISA
[email protected]
Bitterli Consulting AG
Konradstr. 1
Représentant Suisse Romande
8005 Zürich
Paul Wang
Tel. +41 1 440 33 60
PricewaterhouseCoopers
Fax. +41 1 440 33 61
Avenue Giuseppe Motta 50
[email protected]
1211 Genève 2
Tel. +41 22 748 56 01
Fax. +41 22 748 53 54
[email protected]
34