Deutschland
Transcription
Deutschland
Nr. 71, Dezember 2004 Thema “Deutschland” Switzerland Chapter Germany Chapter Austria Chapter © 3.12.2004 2 Inhaltsverzeichnis Inhaltsverzeichnis Impressum Editorial 4 Herausgeber: ISACA Switzerland Chapter CORONET – Vom Call-Center- zum Process-Center-Controlling? 5 c/o Monika Josi Novartis Animal Health Forensische Datenanalyse – Anspruch oder Wirklichkeit? 8 Global Information Technology WRO-1032.1.90 Sarbanes-Oxley und die Folgen – Transparenz im 4002 Basel Finanzberichtswesen durch Einsatz von SAP-Lösungen Redaktion: Sarbanes-Oxley-Act – Professionelles Management Max F. Bretscher interner Kontrollen 11 12 KPMG Fides Peat Badenerstrasse 172 Risk Management – L’auditeur informatique ou la maîtrise 8026 Zürich des risques 18 Satz und Gestaltung: Forum 20 Express Line 21 The ISACA Crossword Puzzle 22 DACH-News 24 Veranstaltungen 30 unter voller Quellenangabe. Germany Chapter 32 Preise: Austria Chapter 33 Switzerland Chapter 34 WissensTransfer Francesca Lüscher Baglioni, 8235 Lohn, SH Jeder Nachdruck, auch auszugsweise, sowie Vervielfältigungen oder sonstige Verwertung von Texten oder Abbildungen aus dem NewsLetter nur mit schriftlicher Genehmigung des Herausgebers Mitglieder gratis Abonnement CHF 35.–/Jahr Einzelnummer CHF 10.– Inserate: 1 Seite CHF 400.– 1/2 Seite CHF 240.– 1/4 Seite CHF 160.– Erscheint 5 Mal jährlich Auflage: 1350 Exemplare Nächste Ausgabe (Thema: SarbanesOxley/Basel II): Februar 2005, Redaktionsschluss: 20. Januar 2005 3 Editorial Ich wünsche Ihnen allen bei der Editorial Lektüre dieses ersten „Deutschen“ NewsLetters nun viel Spaß und hoffe, dass Sie fragen werden: Vor einiger Zeit kamen die Kollegen ein des Swiss Chapters auf mich zu und wurde jedoch lange Zeit kaum be- Kernthema der IT-Prüfung, NewsLetter fragten mich, ob das German Chap- achtet. Mit diesem Artikel soll unser German Chapter?“ ter nicht einen NewsLetter vollstän- aller Interesse an diesem Thema dig übernehmen könnte. Im ersten erneut geweckt werden, da die Mög- Moment fragte ich mich, wie wir das lichkeiten des Einsatzes sehr viel- denn hinbekommen sollen; insbeson- fältig sind. „Wann gibt es denn den nächsten unter dem Motto Ingo Struckmeyer dere waren ausreichend interessante Beiträge aus der Feder von Mitglie- Alles in allem haben wir in diesem Anmerkung des Redaktors: Damit dern des German Chapters gefragt. NewsLetter unterschiedlichste The- unsere welschen Kollegen nicht ganz Nun liegt das Ergebnis dieser Be- men aus vielen Sichtweisen zusam- leer ausgehen, habe ich mir erlaubt, mühungen vor uns und muss nun mengestellt. CORONET hat neben einen französischsprachigen Artikel Ihrem Urteil standhalten. einem praktischen Bezug auch eine einzuschmuggeln. Verbindung zur Wissenschaft. Dicht Da es sich um einen NewsLetter mit an Artikeln orientiert sich auch die Forensische einer Region, nämlich wissenschaftlichen Deutschland, handelt, gibt es kein Datenanalyse. festes inhaltliches Thema. Vielleicht Sarbanes-Oxley-Act sollen Ihnen aus gerade deshalb ist eine m.E. sehr unterschiedlichen Aspekten heraus interessante zeigen, wie eine Umsetzung bzw. Mischung zustande gekommen. Die Methoden Artikel zum Unterstützung in die Praxis wiederzufinden ist. Die Themengebiete umfassen: n Sarbanes-Oxley-Act Zum Ende dieses Editorials möchte n Forensische Datenanalyse ich noch einmal allen Autoren herz- n CORONET lich danken und alle anderen Mitglieder des ISACA German Chapters Mindestens eine der vorstehenden motivieren, auch einen Artikel aus Überschriften wird Ihnen noch nicht Ihrem Wissen, Ihrer Erfahrung oder viel sagen. Ich meine hierbei das Praxis in einem der nächsten News- Projekt CORONET, das sich mit der Letter zu veröffentlichen. Sie können Analyse von Call-Center-Prozessen sich diesbezüglich direkt an mich im Rahmen von Outsourcing be- [email protected] schäftigt. Dieser Artikel wird der wenden. erste einer vierteiligen Serie sein, die zukünftig in den weiteren Ausgaben des NewsLetters erscheinen wird. Sarbanes-Oxley wird uns in diesem NewsLetter hinsichtlich der Unterstützung durch SAP sowie den Zusammenhang mit dem Internen Kontrollsystem näher gebracht. Forensische Datenanalyse ist schon lange 4 „Deutschland“ ketten der Kundenkommunikation zu CORONET übernehmen Vom Call-Center- zum Call-Centern sind entsprechende Tendenzen zu beobachten. Process-Center-Controlling? Dynamik („Business-Process- Outsourcing“). Auch in Inhouse- kennzahlen ausreichte, nehmen heute die qualitativen Faktoren – besonders Veränderungsprozesse und Modellbildung In nur einem Jahrzehnt hat der Call- auch durch Basel II und die Balanced Center-Bereich derart starke Impulse Scorecard eine Einflüsse auf die Bildung eines Con- geliefert, dass das Erscheinungsbild immer grössere Rolle bei der Risiko- trolling-Modells werden deshalb vor von Unternehmen sich deutlich ver- betrachtung und Unternehmenssteue- allem davon ausgehen, dass sich ändert hat. Waren Call-Center noch rung n organisatorisch viel ändern wird, vor 30 Jahren reine Telefonagen- Modelle sollten zumindest die Kun- künftig turen, so entwickelten sie sich in den denseite, n die qualitativen Aspekte an Be- letzten zu sowie die Mitarbeiterzufriedenheit deutung gewinnen, Dienstleistern, die bereits ganze Pro- und -motivation berücksichtigen. Zu- n in diesem Zusammenhang auch zesse ihrer Auftraggeber überneh- nehmend wird aber auch die Frage die Mitarbeiterfrage immer wichtiger men. Die Betrachtung der Call- der Sicherheit in die Betrachtungen wird und Center-Entwicklung passt insofern einbezogen. Das Spektrum reicht n der Sicherheit eine immer bedeu- recht gut in die augenblickliche hier von der Strategie und ihrer tendere Rolle zukommt. Diskussion des sogenannten Busi- Umsetzung im eigenen Unternehmen ness Process Outsourcing. bis zur operativen Übernahme von Jahren immer mehr ein. dokumentiert Heutige die – Controlling- Wirtschaftlichkeit Funktionen und Prozessen durch Die rasante Entwicklung hat trotz Organisation externe Dienstleister. Organisationstheoretisch betrachtet, vieler guter Optimierungsideen und -ansätze auch viele Fragen auf- Sich beim Entwurf eines Control- gewinnt die prozessuale Sicht der geworfen. Aktuell wird vielfach ling-Instrumentes ausschließlich auf Dinge an Bedeutung. Idealerweise darüber diskutiert, wie Call-Center die traditionelle Rolle von Call- sollte ein Unternehmen sich vor und vergleichbare Organisationsein- Centern zu beziehen, scheint deshalb allem auf Kunden hin ausrichten, heiten am besten gesteuert („cont- zu kurz gegriffen zu sein. Denn es wenn es erfolgreiches Service- und rollt“) werden können. Neben unter- gibt keinen Grund anzunehmen, dass Qualitätsmanagement betreiben will. nehmerischen Anforderungen sind es in den nächsten zehn Jahren nicht Anstatt in erster Linie ein Produkt auch immer häufiger Investoren, mit weniger dramatischen Verände- herzustellen und sich erst nachge- Banken und gesetzliche Bestim- rungen zu rechnen ist. Das wirt- ordnet den Problemen der Kunden- mungen, d.h. externe Einheiten, die schaftliche Umfeld der Unternehmen gewinnung und des Marketing zuzu- auf ein angemessenes Risikomanage- wird immer globaler, der Wett- wenden, sollten sich Unternehmen ment sowie eine verlässliche Unter- bewerb schärfer, der Innovations- bereits in der Produktentwicklungs- nehmenssteuerung drängen. druck und die Innovationsgeschwin- phase nach den Bedürfnissen ihrer digkeit höher. Diesen Wettlauf über- Kunden richten, falls erforderlich das Die Anforderungen an ein Control- steht und gewinnt nur, wer seine Produkt umgestalten und den Pro- ling-Konzept sind heute nicht durch eigenen Prozesse ständig überdenken duktionsprozess immer weiter grei- die Betrachtung der quantitativen und flexibel anpassen kann. Aufge- fender Qualitätskontrolle unterwer- Kennzahlen erfüllt. Wenn früher eine griffen haben diesen Trend bereits fen. Unternehmen sind eine fort- meist vergangenheitsorientierte Dar- die die laufende Wertschöpfungskette vom legung von Finanz- und Effizienz- sich dafür rüsten, ganze Prozess- Zulieferer bis zum Kunden. Diese Call-Center-Dienstleister, 5 „Deutschland“ konsequente Ausrichtung an stei- Erfolg gekrönt war. Die Bedeutung Qualifikation steigt die Verant- gende Kundenanforderungen erfor- solcher Maßnahmen zur Sicherung wortung der Agenten und ihr Beitrag dert durchgängige Prozesse und die von Wettbewerbsvorteilen soll nicht an der Maximierung des Kunden- Optimierung der einzelnen Schritte in Zweifel gezogen werden. Aber nutzens. Die Bedeutung der Agen- (Operational Excellence). langfristige Existenzsicherung funk- ten-Kunden-Interaktion für die Qua- tioniert nicht ohne Kundengewin- lität der gesamten Kundenbeziehung Die Retrospektive zeigt, dass die nung und -bindung. Die strategi- rangiert gleich hinter der des Kern- Call-Center-Branche von Beginn an schen Chancen sind auch auf der produktes, weshalb gerade Arbeits- in diese Richtung tendierte. Anfäng- Erlösseite angesiedelt. Die Bedeu- zufriedenheitsaspekte in den Mittel- lich waren Call-Center wenig in die tung von Service- und Qualitäts- punkt des Interesses rücken. Denn Abläufe integriert und hatten eher management nimmt deshalb umso eine bestimmte Arbeitsleistung lässt den Charakter von eigenständigen stärker zu, je weiter die Emanzi- sich nicht verordnen, sondern muss Organisationseinheiten. Mittlerweile pation der Kunden voranschreitet. kultiviert werden. Ein ControllingModell muss dies nachvollziehbar bedienen Kundenservice-Center dank modernster Technik alle denkbaren Für eine Maximierung des Nutz- machen und aufzeigen, wie Arbeits- Kommunikationskanäle und über- wertes der Kunden reicht die schnel- zufriedenheit und ökonomische Grö- nehmen wesentliche Funktionen und le und freundliche Bedienung allein ßen zusammenhängen. Teilprozesse Unternehmen. nicht mehr aus. Vielmehr muss eine Schreitet diese Entwicklung voran, Beziehung zum Kunden hergestellt werden Call-Center von morgen in- und aufrecht erhalten werden, was sofern auch weniger „Call“ Center ein „Sicheinstellen“ auf die Be- als vielmehr „Prozess-Center“ sein, dürfnisse impliziert. Neben Produkt- Werden nun die unterschiedlichen deren Aufgabe in der Übernahme palette, Produktqualität etc. betrifft Veränderungsprozesse und dem Management von komp- dies die Kunden-Agenten-Interak- geführt, so gelangt man zwingend letten Unternehmensprozessen be- tion. Die gesamte Kundenbeziehung auch zu Sicherheitsanforderungen im steht. Dies gilt für Dienstleister eben- (Erreichbarkeit etc.) und vor allem Hinblick auf die in den Prozessen so wie für Inhouse-Call-Center. Kon- das Gespräch selbst müssen die verwendeten Daten und Systeme sequenter Schlusspunkt dieser Ent- Erwartungen der Anrufer reflektie- sowie wicklung könnte sein, dass traditio- ren. Da sich Qualität aus der Über- Mitarbeitern. nelle und bislang aktuelle Formen einstimmung der Kundenerwartun- soziotechnischen der Unternehmensorganisation (z.B. gen ergibt, müssen die Kriterien zu durch einen erhöhten Auslagerungs- Aufbau- und Ablauforganisation) in ihrer Definition konsequent aus der grad geprägt sind, Call-Center-artigen prozessualen Kundenperspektive festgelegt wer- Anforderungen an Sicherheitsvor- Organisationsstrukturen aufgehen – den, was noch einmal unterstreicht, kehrungen und -mechanismen ver- zumindest wenn die Leistungserstel- dass die gesamte Unternehmens- mutlich überproportional zu. Die lung von zufallsabhängigen Kunden- organisation dieser Tatsache Rech- Thematik tangiert dabei wohl nicht ereignissen (einschließlich des direk- nung tragen muss. ausschliesslich Situationen, in denen von ten Kundenkontakts) davon abhängt. Sicherheit nur deren externe vor Augen Anwendern, Gerade den bei den Systemen, die nehmen die Dienstleister einge- schaltet sind; auch Profit-Center Mitarbeiterfrage Qualitative Aspekte innerhalb einer Unternehmung unterliegen den besonderen Anforderun- Die Veränderung des Aufgabenge- gen an die Sicherheit. Die genaue Die qualitativen Aspekte gewinnen bietes von Call-Centern bleibt auch Kenntnis von Prozessen, Schnitt- an Bedeutung, weil die Konzentra- nicht ohne Auswirkungen auf das stellen, Zugangsberechtigungen usw. tion auf quantitative – also z.B. pro- Profil der Agents und der damit sowie deren Management sind von duktivitätssteigernde – Maßnahmen verbundenen Personalorganisation grösster Bedeutung für die Sicherheit zu einseitig und nicht immer mit und -entwicklung. Bei zunehmender eines Unternehmens. Bei externen 6 „Deutschland“ Dienstleistern und damit in Out- system sourcing-Projekten kombiniert werden, das CORONET es möglichst viele Wirkungszusammen- darüber hinaus mit fremden Kunden- hänge berücksichtigt. Neben der Ziel von CORONET ist die Entwick- daten zu tun bzw. ist prozessual reinen Diagnose wird damit die lung eines Controlling-Modells, das meistens in das DV-technische Sys- Planung (z.B. über Szenarienbildun- die Umsetzung von Unternehmens- tem des Auftraggebers direkt ein- gen) sowie die Zielsteuerung und strategien sicherstellen soll. Dabei gebunden. Die Sicherheitsperspek- -balance möglich. werden zufallsgesteuerte bzw. kun- hat man tive wird deshalb in zukünftigen denfrequenzabhängige Controlling-Modellen sowohl strate- tionseinheiten unter Berücksichti- Organisa- gisch als auch operativ eine immer Operative und strategische gung der grundlegenden Perspekti- grössere Rolle spielen. Aspekte ven Kunden-, Arbeitszufriedenheit und Wirtschaftlichkeit sowie Sicher- Damit die Steuerung zeitnah erfolgen heit betrachtet. Es soll Zustände kann, müssen die Indikationen lau- nicht nur analysieren und interpre- fend aktualisiert werden. Je nach tieren helfen, sondern die Auswirk- Messgröße und Erhebungsmethode ungen unterschiedlicher Bedingungs- Die Veränderungstendenzen bleiben kann dies minütlich (z.B. Service- konstellationen – auch auf die vor- nicht ohne Auswirkungen auf die level oder Besetzung), täglich (z.B. und nachgelagerten Prozessschritte – Anforderungen an ein Controlling- bzgl. Kundenzufriedenheit) oder in nachvollziehbar machen, um Ent- Modell: größeren Abständen (beispielsweise scheidungen bezüglich geeigneter wöchentlich bzgl. der Arbeitszufrie- Gegensteuerungsmaßnahmen fällen denheit) geschehen. Die Realtime- zu können. Mit Hilfe des CORO- Steuerungsfähigkeit ist jedoch nur NET-Modells sollen so die Grund- ein Element des Gesamtcontrollings. lagen für komplexe Simulationen für Unter Annahme der so genannten Neben den operativen sind noch die zufallsgesteuerte Instrumentalthese, dass Unterneh- strategischen Aspekte zu berück- heiten aller Art möglich gemacht men als Koalitionen verstanden wer- sichtigen. Auch wenn Call-Center- werden. Die Erhebungen begannen den können, die von den Teilneh- Controlling keine strategische Auf- im Sommer 2004. Interessenten sind mern Kunden (und Lieferanten), gabe ist, tragen Call-Center-Aktivi- jetzt noch herzlich eingeladen zur Mitarbeitern und Kapitalgebern dazu täten doch zumindest zur Umsetzung Teilnahme an dem Projekt und benutzt werden, ihre individuellen von Unternehmensstrategien bei. Die erfahren mehr unter www.coronet- Ziele zu realisieren, besteht die Con- Verzahnung der operativen (Call- online.de. Kooperationspartner ist trollingfunktion im Kern darin, die Center-) Controllings und des strate- die Universität Hamburg (Professor Erwartungen auszugleichen und ein gischen Unternehmenscontrollings Dr. Küpper). Die Organisation und organisationales Gleichgewicht zu kommt deshalb besondere Bedeu- Koordination übernehmen Dr. Flo- unterstützen. Die Leistungsprozesse tung zu. Die prozessuale oder auch rian Schümann und Dipl.-Kfm. Horst müssen so gesteuert werden, dass systemische Herangehensweise för- Tisson. einerseits die Anforderungen der dert diese Integrationsnotwendigkeit. Umwelt (also z.B. der Kunden) er- Eine füllt werden, an welche die Organi- spielsweise wäre damit als Sub- sation ihre Leistungen abgeben will Scorecard in ein System von Unter- und dass andererseits die Anfor- nehmens-Scorecards zu integrieren. Anforderungen an die Modellbildung Balance Call-Center-Scorecard Organisationsein- bei- derungen der Mitglieder (z.B. Agenten) befriedigt werden, die diese Leistungen erbringen sollen. Dazu müssen die Einzelziele operationalisiert und zu einem Kennzahlen7 „Deutschland“ Artikelserie/Ausblick Forensische Datenanalyse Artikel 1: Einleitung/Vorstellung des Coronet-Projektes Anspruch oder Wirklichkeit? Artikel 2: Ergebnisse des 1. Befragungszyklus – Paradigmenwechsel im Call-Center-Bereich Seit Mitte der 80er-Jahre ist die samkeit der Plausibilität zu hinter- Auswertung fragen. von großen Daten- Artikel 3: Ergebnisse des 2. Befra- beständen ein wesentlicher Bestand- gungszyklus – Auslagerung von teil der praktischen Revisionsarbeit. n Was bedeutet nun der Begriff Funktionen und Prozessen. Betrach- Dabei waren von Beginn an zwei „forensisch“ in diesem Zusammen- tung von strategischen Aspekten und Betrachtungswinkel vorstellbar: hang? Laut Wörterbuch: „die Gerichtsverhandlung betreffend“. Sollte Anforderungen an die Prozesstransn Ansatz „repräsentativ“, d.h., dass es sich also nur um Datenanalyse in eine Aussage über eine Grund- Zusammenhang mit dolosen Hand- Artikel 4: Ergebnisse des 3. Befra- gesamtheit anhand einer Stichprobe lungen, neudeutsch „Fraud“, han- gungszyklus – Controlling-Modell getroffen werden soll, die eine deln? Das wäre sicher zu kurz prüferisch handhabbare Größenord- gegriffen. Vielmehr sind darunter nung hat, aber in der Zusammen- Prüfungswerkzeuge zu verstehen, die setzung dem Gesamtbestand mög- über das klassische „if-then-else“ als lichst entspricht. Dabei spielte auch Prüfungsansatz die Argumentation gegenüber dem zusätzliche und vertiefende Funktio- geprüften Bereich eine Rolle, bei der nalitäten bieten, um Auffälligkeiten die zunächst als suspekt betrachtete aufzuspüren. Bei Betrachtung der Stichprobenauswahl durch ein statis- verschiedenen auf dem Markt er- tisch abgesichertes Verfahren erhär- hältlichen Software-Tools wird deut- tet werden sollte. lich, dass die Auffassungen über ein plantation. hinausgehen und „forensisches“ Vorgehen stark diffe- Dipl.-Kfm. Horst Tisson ist nach Stationen bei IBM, Andersen Con- n Ansatz „selektiv“, hierbei ist das rieren. Im folgenden sollen daher sulting und Thomas J. C. Matzen seit anteilige Vorkommen von Einzel- verschiedene Einzelaspekte darge- 10 Unter- fällen weniger im Blickfeld, als viel- stellt werden, die dem Oberbegriff nehmensberater und Doktorand an mehr die Qualität des Einzelfalls, der „Forensik“ der Universität Hamburg, E-Mail: in seiner Konstellation Auskunft können. [email protected]. über bestimmte, vielleicht schon in Jahren selbständiger zugerechnet werden der Prozessanalyse theoretisch vermutete, Risikovorgänge gibt. So ist Digitale Analyse es z.B. ein Ansatz, das Vorhanden- 8 sein und die Wirksamkeit von Daten- Gemeinsamer Ansatz dieser Vor- plausibilitäten dadurch nachzuprü- gehensarten ist die sog. Benford- fen, dass man eine notwendige Analyse. Plausibilität mit Hilfe der Prüfsoft- (Er)Finder dieser Gesetzmäßigkeit, ware formelmäßig nachstellt und wird durch einen Programmlauf ge- über den geprüften Bestand schickt. prüft, inwieweit die Ziffernverteilung Allein das Auftreten eines einzigen (1., 2., oder die ersten beiden Ziffern, Falles, der gegen die vorgegebene usw.) des geprüften Bestandes von Regel verstößt, ist Anlass, die Wirk- der Verteilung in natürlichen Men- Benannt nach dem „Deutschland“ gen abweicht. Sind signifikante Ab- bedenkenswert, die im Gegensatz zur nummer und der Vertriebsweg er- weichungen vorhanden, so kann dies Benford-Verteilung Vertei- fasst. Diese Felder kann man nun ein Hinweis auf manipulative Tätig- lungswert der Ziffern nach dem exportieren und um einen Counter keit sein. In den Musterbeispielen durchschnittlichen Erwartungswert (=1) als dritte Kolonne ergänzen. werden erfahrungsgemäß die Be- von Schätzungen Anschließend lässt man diese Datei tragsgrenzen bemüht, die ein Unter- abgibt. nehmen bei einen menschlichen durch eine Kreuztabelle laufen, die Artikel Auszahlungsbeträgen und Vertriebsweg mit- setzt – z.B. 10 000 €. Der typische Ebenfalls ein interessanter Ansatz ist einander referenziert. Sollen nun Täter wird dann Zahlungen von die Prüfung der beiden letzten Zif- bestimmte Artikel nicht über be- 9 980.– € und ähnliche in größerer fern vor dem Dezimalkomma bei stimmte Menge absetzen, um die gesetzte Zahlen mit 4 und mehr Stellen. Hier werden, so müssten in der fertigen Kontrollgröße zu unterlaufen. Damit sollte Beständen Matrix leere/mit Null gefüllte Felder verschiebt er jedoch die natürliche Gleichverteilung herrschen. Dies ist erscheinen. Steht an diesen Stellen Ziffernhäufigkeit, und fällt beim z.B. bei den Zählerständen von jedoch eine Zahl > 0, so ist dies die Benford-Test durch einen „Peak“ bei maschinellen Zählwerken der Fall, Anzahl der 9 oder bei der 99 auf. die nicht stückzahl-, sondern zeit- gegen die Regelung, und kann quan- abschnittbezogen titativ bewertet oder gezielt einer in natürlichen arbeiten (eine Nicht bei diesen Beispielen sind die Postöffnungsmaschine zählt alle von Erschwernisse der Praxis, die meist 07:00 etwas mit der regelgerechten Ver- Poststücke). Ist hier eine auffällige schiebung des erwarteten Ziffern- Häufung von „00“-Werten festzu- wertes zu tun haben. Beispiel: Ein stellen, so wurde die maschinelle Unternehmen erwirbt im Rahmen der Zählung Neuausstattung der Arbeitsplätze be- gangen. bis 10:00 h Vertriebswege der verkauft Verstöße/Ausnahmen Detailselektion unterworfen werden. geöffneten möglicherweise über- Regelbasierte Prüfung Hierbei ist ein Wandel in der Art der Dienstleistung erkennbar, die eine sonders günstig Workstations mit Prüfsoftware erbringen soll. Wäh- einem hohen Mengenrabatt, 500 Für die digitale Prüfung sind die rend die Entwicklungen der 90er Stück zu 999.– €. Die Benford-Prü- Arbeiten von Prof. Nigrini sehr zu Jahre vor allem darauf abzielten, fung der Inventar-Werte würde in empfehlen, vom dem Prüfer eine möglichst reich- diesem Fall ebenfalls einen mar- klassischen Benford-Test eine Viel- haltige Palette an mathematischen kanten Peak im Bereich der 9 oder zahl Ziffern- und kombinatorischen Werkzeugen der 99 auswerfen. Hintergrund ist orientierten Tests entwickelt hat, die in die Hand zu geben, geht der Trend dann aber mitnichten manipulatives, eine Untersuchung von Datenbestän- derzeit eher in die Richtung, dem sondern vielmehr gewünschtes und den Prüfer vorbereitete Programmabläufe effizientes, Verhalten. mäßigkeiten ermöglichen. von der ausgehend Zahlen- nach und bestimmten Unregel- zu bieten, die praktisch eigenständige Untersuchungen durchführen. Es macht daher Sinn, bei der digitalen Untersuchung eines Datenbe- Grundsätzlich ließen sich viele dieser Utilities Serviceprogramme auch mit den be- standes die Regeln, die zur Ziffern- reits bekannten Prüfprogrammen und ausformung gerade dieses Bestandes Forensische Arbeit erfordert nicht deren jeweiligen Kommando-Spra- führen, vorher zu bedenken und grundsätzlich Prüfpro- chen erstellen; die Frage ist aller- seine Erwartungshaltung daran aus- gramme. Oft sind es kleinere Unter- dings, ob Programmier-Know-how zurichten. stützungstools, welche die prüfe- und Zeiteinsatz dies für die Prüfung rische Suche erleichtern, wie z.B. die akzeptabel erscheinen lassen. komplexe Über die klassische Benford-Analyse Verwendung von Kreuzreferenzen. hinaus sind auch andere digitale Prü- Ein einfaches Beispiel: Es liegt eine Ist nun der qualifizierte Prüfer über- fungen durchaus erfolgversprechend. große Datei mit Verkaufsdaten vor. flüssig geworden? Macht Kollege So ist auch die sog. Hill-Verteilung Je Satz Verkauf sind die Artikel- Computer die Arbeit? Gewiss nicht, 9 „Deutschland“ denn auch die Tools, die selbständig höheren bestimmte Analysen durchführen, stellt. Verarbeitungsebene dar- Umso mehr ist auf den Gehalt von neu am Markt erscheinenden Pro- bedürfen der intensiven prüferischen dukten zu achten, da zu diesen aus Nacharbeit. Ein Beispiel: Ein Tool, verständlichem verkäuferischem Be- das verschiedene Arten von Daten- Auswirkungen mühen die Fähigkeiten – und dazu zählt in letzter Zeit auch „forensisch“ beständen interpretieren kann, forganzes Es besteht daher m.E. kein Anlass – der Software überdeutlich heraus- Bündel von Regeln, die es aus der zur Sorge, dass Software-Tools die stellen. Ein Werkzeug, dass mir vor Zusammensetzung eines Bestands Arbeit des Revisors auf Dauer über- kurzem angeboten wurde, und aus- abgeleitet hat. Dazu werden auch die flüssig machen könnten. Im Gegen- drücklich als forensisch bezeichnet Fälle benannt, die den identifizierten teil: Gerade die Werkzeuge, die sich wurde, konnte bei näherem Hinsehen Regeln nicht folgen, und als Aus- „forensisch“ nennen, fordern die an- Datenbestände nahmen gekennzeichnet. Hier setzt wendenden Prüfer in besonderem Formate und die Darstellung der nun das Können des Prüfers ein, das Maße hinsichtlich ihrer Analyse- und Dateninhalte untersuchen. Dies mag in der Bewertung der Auswertungs- Bewertungsfähigkeiten. Verfehlt wä- für bestimmte Einsatzgebiete durch- ergebnisse liegt. So ist die Frage zu re daher eine allzu euphorische Er- aus sinnvoll sein, ob es aber dem stellen, ob die maschinell identifi- wartungshaltung an ein Werkzeug, Anspruch, als forensische Prüfungs- zierten Regeln tatsächlich auf defi- das man neu erworben hat und nun unterstützung zu wirken, standhält, nierte Regeln zurückgehen, oder auf mehr hofft, dass damit Wunderdinge mag dahingestellt sein. der zufälligen Massenverkettung von möglich sind. Software-Tools sind unabhängigen Datenbereichen be- Arbeitserleichterungen, keine Mittel ruhen. zur Arbeitsverhinderung. Sie er- Michael Neuy, möglichen aber eine neue Qualität GEZ Gebühreneinzugszentrale, Köln muliert selbständig ein Des Weiteren ist zu prüfen, welcher der Prüfungsprozesse, indem sie dem Art und Natur die herauskristalli- Prüfer neu sierten Regelabweichungen Aspekte prüferischer sind. Kreativität eröffnen. So macht es in Theoretisch kann es sich dabei um der Praxis eben doch Sinn, unge- manipulierte Vorgänge handeln, die wöhnliche und scheinbar aussichts- durch ihren Regelverstoß nun auf- lose fallen, und bisher in der großen forschen. Was früher unter Auf- Datenmenge verborgen waren. Ge- wandsgesichtspunkten eher hinten nauso gut ist vorstellbar, dass es sich anstehen musste, kann nun mit Hilfe zwar um Regelverstöße im Sinne der hochqualifizierter Tools den Blick Datenkonstellation auszu- nicht auf sowohl getarnte dolose Hand- aber um Manipulation, sondern um lungen, als aber auch auf komplexe gewollte Irrtumswege moderner IT-gestützter und handelt, Datenkonstellationen kontrollierte Aus- nahmefälle. Letztlich kann gerade in Prozesse, leiten. komplexen Systemen ein scheinbarer Regelverstoß vorliegen, der aber nur Abschließend sei noch ein Wort zur darauf beruht, dass die vom Prüftool Marktlage gesagt. Die Anwendung dargestellte Einzelregel nur Teil von Softwaretools zur Prüfungs- eines größeren und komplexeren unterstützung Regelwerks ist, so dass die auto- schon seit Jahren eingeführte Tech- matisierte Regel- nik. Trotzdem ist der Einsatz in der verstoß identifiziert, der letztlich nur Praxis nicht durchgängig, da dies eine Datenkonstellation auf einer sehr stark von Kenntnisstand und Prüfung einen (CAAT) ist zwar Motivation der Prüfer abhängig ist. 10 auf die Art der „Deutschland“ mySAP ERP bietet nicht nur die Sarbanes-Oxley und die Folgen Architektur für Rechnungslegung und Corporate Governance, sondern Transparenz im Finanzberichts- umfasst auch eine Reihe von Anwendungen in diesem Bereich. wesen durch Einsatz von SAP-Lösungen Management des internen Kontrollsystems (MIC 1.0) Weltweit brennt SAP-Kunden die n Sicherheitskontrollen, zum Bei- Einhaltung des Sarbanes-Oxley-Acts spiel Passwörter, die nach einigen Unternehmen, die bei der US-ameri- unter den Nägeln: So wird ihnen die Wochen geändert werden müssen. kanischen Securities and Exchange Einrichtung eines Prüfungsausschus- n Berichtskontrollen, wie Bestäti- Commission (SEC) eingetragen sind, ses (Audit Committee) vorgeschrie- gungsberichte, dass die in die SAP- müssen die Einhaltung des Ab- ben und ihr Vorstand verstärkt in die Lösung für den Vertrieb einge- schnitts 404 des Sarbanes-Oxley- Pflicht genommen. Gemeinsam mit gebenen Summen korrekt im SAP- Acts bis 2004/2005 gewährleisten, Pricewaterhouse-Coopers hat SAP Finanzberichtswesen wiedergegeben abhängig von Standort und Größe ein Lösungsportfolio entwickelt, das wurden. des Unternehmens. Nach diesem den Anforderungen umfassend genügt. Abschnitt sind sie verpflichtet, GeDiese Kontrollen unterstützen Kun- schäftsprozesse zu dokumentieren, den optimal bei der Umsetzung des die maßgeblich für die Finanzbe- Unternehmen, welche die Standard- Sarbanes-Oxley-Acts. Weitere Vor- richterstattung sind. Darunter fällt funktionen von SAP einsetzen, ver- teile liegen in einer verbesserten auch die Dokumentation von Pro- fügen bereits über eine solide Grund- Systemintegration und der Einbin- zessrisiken und Kontrollen. Darüber lage für eine genaue und sichere dung von Anwendungen, die speziell hinaus muss regelmäßig geprüft wer- Buchhaltung und Corporate Gover- Corporate die den, wie wirkungsvoll die Kontrollen nance. So ermöglichen die integrier- Rechnungslegung Sarbanes- konzipiert und praktisch umgesetzt ten seit Oxley unterstützen. Diese Anwen- werden; erhebliche Schwierigkeiten zentraler Bestandteil der dungen sind in mySAP ERP und SAP sind NetWeaver integriert. mySAP ERP MIC wird eine Lösung Kontrollmechanismen, Jahren SAP-Architektur, eine verantwortungsvolle Rechnungslegung. Governance nach und Sie umfassen: der SEC mitzuteilen. Mit angeboten, die Kunden in allen PhaEine verbesserte Systemintegration sen der Umsetzung von Abschnitt führt nicht nur zu einer geringeren 404 unterstützt. n Inhärente Kontrollen, zum Bei- TCO (Total Cost of Ownership), spiel das Belegprinzip: Jede Bu- sondern erhöht auch die Trans- chung im SAP-System erhält eine parenz der Finanzberichterstattung. Belegnummer, über die der Infor- SAP NetWeaver, die neue Plattform mationsfluss nachvollzogen werden für mySAP ERP, erleichtert die AIS dient seit langem als zentraler kann. Systemintegration und verringert so- Speicher für Berichte zur Unter- n Konfigurierbare Kontrollen, wie wohl die Komplexität als auch den stützung von System-, Geschäfts- ein automatischer Workflow, der die Bedarf an kundenspezifischen An- und Genehmigung eines Managers für passungen. Durch die gesteigerte Systemen. Um auch die Anfor- Kundenaufträge erfordert, die eine Transparenz werden darüber hinaus derungen des Sarbanes-Oxley-Acts bestimmte die Systemaudits durch interne und zu erfüllen, wurde AIS um SEM externe Prüfer vereinfacht. Business Consolidation erweitert und schreiten. Größenordnung über- Audit Information System (AIS) Steuerprüfungen von R/3- bietet damit einen prozessorientierten Ansatz bei der Prüfung von 11 „Deutschland“ Purchase-to-Pay- und Order-to-CashProzessen. Sarbanes-Oxley-Act Professionelles Management Whistleblower-Meldungen interner Kontrollen Abschnitt 301 des Sarbanes-Oxley Acts verpflichtet Unternehmen, Unternehmen zeigen sich aus ver- Vorteile. Das Management erhöht einen Prozess einzurichten, durch schiedenen Gründen bestrebt, die die Prozesssicherheit und kann ange- den Mitarbeiter anonym Unregel- Wirksamkeit ihres internen Kon- fertigte Dokumentationen für zusätz- mäßigkeiten in der Rechnungslegung trollsystems (IKS) sicherzustellen. liche Optimierungen und Effizienz- melden können. Whistleblower-Mel- Sie erfüllen hierdurch nicht nur verbesserungen nutzen. Wirksame dungen sind ein HTML-gestützter gesetzliche Anforderungen wie den Kontrollen tragen darüber hinaus Service, der im Rahmen von mySAP Sarbanes-Oxley-Act (SOA), sondern dazu ERP zur Verfügung gestellt wird. profitieren beispielsweise von erhöh- schlagungsfällen ter Prozesssicherheit oder Effizienz- beugen. Das IKS kann einen wesent- Der Sarbanes-Oxley-Act fordert vor steigerungen. PwC hat eine Best- lichen Bestandteil von Enterprise- allem eine größere Transparenz im Practice-Methodik entwickelt, die Risk-Management-Systemen bilden. Finanzberichtswesen. Zu den Zu- Unternehmen in Projekten unter- Aus Sicht der Shareholder schützt satzfunktionen von mySAP ERP, die stützt, ihr IKS professionell zu das IKS ihre Kapitalanlage und ver- eine unterstützende Rolle spielen, managen. bessert Transparenz und Vergleich- gehören: bei, Betrugs- und Unter- („fraud“) vorzu- barkeit der Unternehmen auf dem n (Neues) Hauptbuch Spektakuläre und Kapitalmarkt. PwC hat zahlreiche n Fast Close Unternehmenszusammenbrüche auf IKS-Projekte und seit August 2002 n Unterstützung für IAS den Kapitalmärkten zahlreiche SOA-Projekte durchge- n Transparenz für Basel Il rücken Corporate Governance ver- führt oder begleitet und auf der n Transferpreisfindung stärkt in den Fokus von Gesetz- Grundlage dieser Erfahrungen eine n SEM Business Consolidatian gebern und Investoren. Insbesondere Best-Practice-Methodik n SEM Business Planning der SOA, aber auch andere Ge- Sie ermöglicht ein professionelles n SEM Strategy & Performance setzesinitiativen, adressieren das IKS Management interner Kontrollen in Management als wichtigen Baustein von Cor- einem sechsphasigen Projektansatz n SEM Risk Management porate Governance. So schreibt das und kann sowohl für SOA-Com- n Treasury9 US-Gesetz unter anderem vor, dass pliance- als auch bei allgemeinen n Qperational Risk Management das Management ein wirksames IKS IKS-Projekten eingesetzt werden. Finanzskandale weltweiten entwickelt. der Finanzberichterstattung einrichEine wachsende Zahl von Unter- ten, pflegen und jährlich durch den nehmen ist vom Sarbanes-Oxley-Act Abschlussprüfer betroffen, muss. Generelle Ziele des IKS sind, nachdem vergleichbare testieren lassen 1. Festlegung der Projektorganisation und des Scopes Gesetze in Frankreich und den Unternehmensaktivitäten Niederlanden bereits erlassen und für Richtlinien und Regeln zu steuern die EU geplant sind. Mit mySAP sowie die Einhaltung dieser Rege- In der Anfangsphase des Projekts ist ERP und SAP NefWeaver sind die lungen zu überwachen. es notwendig, die Projektorganisa- durch Betriebe für die Umsetzung dieser Richtlinien bestens gerüstet. tion und den Projektumfang (Scope) Unabhängig von etwaigen gesetz- als Basis für spätere Phasen zu be- lichen ein stimmen. Einen wichtigen Teil der Katharina Reichert effektives und effizientes IKS auch Projektorganisation bildet die Fest- SAP AG, Waldorf aus Unternehmenssicht zahlreiche legung von Projektzielen. In der 12 Anforderungen bietet „Deutschland“ Praxis hat sich eine Definition Informationen bei- ablaufenden Prozesse. Darauf auf- abstrakter als Experten steuern, Entscheidungsvorlagen er- bauend ist zu untersuchen, welche Compliance bis zum Datum x) und stellen, Relevanz die identifizierten Prozesse deren Herunterbrechen in operatio- helfen, die Projektziele zu erreichen. Oberziele (z.B. SOA und dem Unternehmen hinsichtlich der Rechnungslegungselemente und Offenlegungspflichten nalisierte Teilziele bewährt. Das aufweisen. ermöglicht eine regelmäßige Mes- Die Festlegung des Projektumfangs sung des aktuellen Zielerreichungs- (Scope) erfolgt durch die Auswahl grads. Alternativ oder ergänzend relevanter Unternehmenseinheiten Die IT-Infrastruktur und die darin können Minimal- und erweiterte und Bestimmung der wesentlichen, abgebildeten Prozesse besitzen eine Ziele formuliert werden, um bei- für die Projektziele relevanten, Pro- große Bedeutung für die Ordnungs- spielsweise eine Zielpyramide umzu- zesse. Die Einbindung einer zu ge- mäßigkeit und Verlässlichkeit der setzen. ringen Anzahl von Unternehmens- Finanzberichterstattung eines Unter- einheiten angestrebten nehmens. Deshalb ist vor allem bei Die Festlegung der Projektstruktur Ergebnisse (z.B. Effizienzverbesse- SOA-404-Projekten sicherzustellen, umfasst die Auswahl der Projekt- rungen) verringern. Zusätzlich be- dass der Scope des Projekts zu- beteiligten sowie die Bestimmung steht bei SOA-404-Projekten die sätzlich auf die relevanten Bereiche der ihnen zugeordneten Rollen. Die Gefahr, dass die Anforderungen des der Informationstechnologie ausge- aktive und unternehmensweite Ein- Gesetzes nicht erfüllt werden und der dehnt wird. Ein eigener Abschnitt am bindung von Prozess- und Kontroll- Abschlussprüfer das Vorgehen des Ende dieses Artikels widmet sich managern als Basis einer Pyramide Managements unzureichender diesen Besonderheiten. Vorab ist kann helfen, die Verantwortung für Abstimmung bemängelt. Zur Aus- jedoch anzumerken, dass sich die das Projekt in die Gesamtorgani- wahl Ausführungen zu den nachfolgend sation einzubetten. empfiehlt kann der die bei Unternehmenseinheiten verschiedene beschriebenen Phasen ebenfalls auf „harte“ und „weiche“ Kriterien zu die verschiedenen Kontrollen im An der Spitze der Pyramide befindet bestimmen. Diese können sowohl Bereich der IT beziehen. sich der Lenkungsausschuss (Stee- Bilanz- und GuV-Kennzahlen mit ring Committee) als oberstes Ent- entsprechenden Wesentlichkeitsgren- Am Ende der ersten Projektphase scheidungsgremium. Dessen Aufga- zen umfassen, als auch besondere liegt eine Zusammenstellung der ben bestehen unter anderem in der Risiken der Geschäftstätigkeit be- relevanten Genehmigung von Projektstrategie rücksichtigen. einschließlich der jeweils signifikan- es sich, Unternehmenseinheiten ten Prozesse vor. und -methode sowie des Projektplans und der Bereitstellung von Res- Nachdem relevante Unternehmens- sourcen. Abweichungen von der einheiten bestimmt wurden, erfolgt Projektstrategie sowie Maßnahmen im nächsten Schritt die Auswahl von zur Beseitigung gravierender Schwä- signifikanten chen sind vom Steering Committee der jeweiligen Einheiten. Bei SOA- zu autorisieren. Seine Zusammen- 404-Projekten besteht das Ziel unter setzung sollte den Besonderheiten anderem darin, Prozesse mit beson- des Projekts Rechnung tragen. Mit- derer Bedeutung für wesentliche Ele- Das Ziel der zweiten Projektphase glieder des Gremiums können daher mente der Rechnungslegung (Bilanz- bildet die Dokumentation der iden- CFO/Projektsponsor, und Projektleiter, Prozessen GuV-Positionen) im innerhalb 2. Prozess- und Kontrolldesign dokumentieren und bewerten sowie für tifizierten Prozesse und vorhandenen Rahmen Vertreter des Rechnungswesens, des Offenlegungen der Kontrollen sowie die Bewertung des Risk Managements, der Internen Finanzberichterstattung (Significant konzeptionellen Aufbaus (Kontroll- Revision oder der Rechtsabteilung Accounts and Disclosures) zu identi- design). Hierzu empfiehlt sich die sein. In das Projekt eingebundene fizieren. Das empfohlene Vorgehen Erstellung eines zentralen Organisa- Abschlussprüfer oder externe Berater beginnt mit einer Strukturierung und tions- können beispielsweise zusätzliche Aggregation der in den Einheiten höchster Unternehmensebene, um und Prozesskatalogs auf 13 „Deutschland“ ein einheitliches Vorgehen zu gewährleisten und Synergie-Effekte zu 3. Kontrollschwächen beheben empfohlene Vorgehen ist von den Projektzielen und – damit verbunden – den regulatorischen Anforderungen erzielen. Inhalt des Katalogs bilden unternehmensweit vorhandene Pro- Ausgangsbasis für die dritte Phase (z.B. SOA) abhängig. In jedem Fall zesse, Risiken und Kontrollziele, bildet eine Zusammenstellung iden- sollte das Management ein ange- wobei der anzustrebende Detaillie- tifizierter, validierter und priori- messenes Maß an Sicherheit erzie- rungsgrad von der Homogenität bzw. sierter Kontrollschwächen als Ergeb- len, was nicht gleichbedeutend mit Heterogenität nis des Design Assessments (Phase einem Test aller vorhanden Kontrol- 2) oder der durchgeführten Wirksam- len sein muss. der Unternehmens- strukturen abhängt. keitstests (Phase 4). Abhängig von Aufbauend auf dem zentral erstellten Art und Ausmaß der Schwäche sind Planung und Durchführung von Katalog erfolgt die Detaildokumen- im nächsten Schritt entsprechende Kontrolltests werden unter anderem tation in den jeweiligen Unter- Korrekturmaßnahmen zu definieren. von Art und Bedeutung der Kon- nehmenseinheiten. Kontroll- Sie können beispielsweise in der trolle sowie der Häufigkeit der Aus- dokumentation erfordert meist be- Einführung neuer oder der Änderung führung beeinflusst. Manuelle Kon- sonderes Fachwissen, das nicht not- bestehender Kontrollaktivitäten, der trollen sind intensiver und umfang- wendigerweise in den Einheiten Entfernung redundanter Kontrollen reicher zu testen als automatisierte vorhanden ist. Deshalb ist frühzeitig oder von Kontrollen. Gleichzeitig steigt die die Einbindung zusätzlicher Ressour- Prozessen bestehen. PwC empfiehlt, Anzahl der Testdurchläufe mit zu- cen (z.B. Interne Revision, externe geplante Maßnahmen unternehmens- nehmender Häufigkeit der Kontroll- Berater) zu prüfen, um erfolgs- weit in standardisierten Maßnahmen- ausführung. Die Auswahl der zu kritische Terminüberschreitungen zu plänen zu erfassen. Hierdurch kön- testenden Kontrollen sollte die zu vermeiden. nen notwendige Informationen struk- kompensierenden Risiken innerhalb turiert aufbereitet und als Vorlage für des gesamten IKS angemessen be- Bei der Bewertung des Kontroll- das rücksichtigen. designs ist zu untersuchen, ob eine Projektleitung oder Steering Com- Kontrolle hinsichtlich ihrer Ausge- mittee) zusammengestellt werden. Verlässliche Kontrolltests erfordern staltung theoretisch geeignet ist, Die behobenen Kontrollschwächen den Einsatz von ausreichend ge- Risiken innerhalb eines Prozesses sollten nach der Behebung überprüft schultem Personal. Entsprechende auf ein akzeptables Maß zu redu- werden, um sicherzustellen, dass das Mitarbeiter müssen unabhängig und zieren. Dies erfolgt sowohl auf Design und die Wirksamkeit der be- dürfen daher nicht gleichzeitig für Ebene der isolierten einzelnen Kon- troffenen Kontrollen den Anforde- die Ausführung der Kontrolle ver- trolle als auch auf der Prozessebene. rungen entsprechen. antwortlich sein. Empfohlen ist der Die der Vereinheitlichung Entscheidungsgremium (z.B. Die Prozessdesign-Bewertung unter- Einsatz von Personal der Internen sucht vor allem, ob sich die Kon- Revision, die Bildung von speziellen trollen innerhalb des Prozesses an der richtigen Stelle befinden und ob 4. Wirksamkeit des IKS testen Kontrollgruppen oder die Einbindung externer Berater. Zusätzlich ist es erforderlich, die Tests einschließ- Prozessrisiken nicht oder nur unvollständig durch Kontrollen abgedeckt Der von lich der Testergebnisse zu dokumen- werden. Kontrollschwächen Phase 2 und 3 stellt sicher, dass das tieren, um sie später nachvollziehen identifiziert wurden, sind diese zu IKS theoretisch geeignet ist, die zu können. dokumentieren und durch den Kon- identifizierten Risiken ausreichend trollverantwortlichen zu validieren. zu kompensieren. Zusätzlich sollte Analog zu Phase 2 sind die iden- die Wirksamkeit der Kontrollen im tifizierten Kontrollschwächen zu do- laufenden Betrieb beurteilt werden, kumentieren und zu validieren. Ab- was die Planung und Durchführung hängig vom Ausmaß der Schwäche Falls von 14 erfolgreiche Kontrolltests Abschluss erfordert. Das „Deutschland“ sollten Maßnahmenpläne erstellt und gemäß Phase 3 umgesetzt werden. 6. Attestieren und berichten (SOA-404Projekte) Unterstützung durch SoftwareTools Zahlreiche Unternehmen betrachten 5. Sign-off und Managementberichterstattung (SOA404-Projekte) Gemäß den Bestimmungen des SOA die Einführung eines geeigneten und des vom Public Company Ac- Software-Tools als kritischen Er- counting Oversight Board (PCAOB) folgsfaktor und planen, dies bei- veröffentlichten Prüfungsstandards spielsweise zum Aufbau eines Enter- ist der Abschlussprüfer aufgefordert, prise-Risk-Management-Systems zu Mittels Sign-off übernehmen die zwei getrennte Beurteilungen vorzu- nutzen. Das Tool kann in allen einzelnen Unternehmenseinheiten nehmen. Er ist verpflichtet, sowohl Phasen unterstützend eingesetzt wer- (z.B. durch CEO oder CFO als SOA- das IKS der Finanzberichterstattung den und erleichtert unter anderem die Champions des Teilkonzerns) die als auch die abgegebene Erklärung strukturierte Dokumentation, die ein- Verantwortung für die Wirksamkeit des Managements zu bewerten. Bei heitliche Kontrollbewertung, das Re- des IKS in ihrem Verantwortungs- der Bewertung der Erklärung wird porting von Kontrollschwächen und bereich. Bestehende Kontrollschwä- der Abschlussprüfer zusätzlich den die Nachvollziehbarkeit durch den chen werden dem Konzernvorstand Prozess beurteilen, wie das Manage- Abschlussprüfer. Dessen Nutzung berichtet, damit er die Auswirkung ment zu seiner Einschätzung gelangt erfolgt kontinuierlich auch nach der wesentlichen Schwächen auf das ist. Das exakte Prüfungsvorgehen Projektende, weshalb die Software- gesamte Unternehmen einschätzen des Abschlussprüfers ist einzelfall- Auswahl den Besonderheiten des kann. abhängig und berücksichtigt zum Projekts und der IT-Struktur des Beispiel Unternehmens Erfahrungen der Ver- Rechnung tragen Nach SOA ist das Management ver- gangenheit oder besondere Risiken muss. Der Einsatz eines Tools erfor- pflichtet, einen Bericht zur Gesamt- und Geschäftspraktiken. Maßgeblich dert die Durchführung geeigneter wirksamkeit des IKS der Finanz- ist sein Handeln vom Prüfungs- Endanwender-Schulungen. Eventuel- berichterstattung standard des PCAOB bestimmt. ler Zeitdruck, die Verfügbarkeit zu- abzugeben. In sätzlicher Ressourcen und die Situa- diesem Bericht sind wesentliche, als Unternehmensmanagement tion in den ausgewählten Unter- Kontrollschwächen nach außen offen empfiehlt PwC, das Vorgehen und nehmenseinheiten sind daher ange- zu legen. Für den Bericht können die die Anforderungen des Prüfers früh- messen zu berücksichtigen. oben genannten Sign-offs aggregiert zeitig zu berücksichtigen. Dies um- und als Basis für die geforderte fasst zum Beispiel die Abstimmung Bewertung genutzt werden (Bottom- des Scopings und der Vorgehenswei- Strukturierte Beurteilung der up-Vorgehen). Bestehen im Unter- sen zur Erreichung der (Teil-)Pro- IT-Kontrollen nehmen Kontrollschwächen, sollte jektziele sowie die frühzeitige Kom- das Management sicherstellen, dass munikation Schwä- Computergestützte Informationssys- identifizierte Schwächen entweder chen einschließlich der Korrektur- teme besitzen einen großen Anteil an wirksam beseitigt werden oder nur maßnahmen. Ziel ist, den Abschluss- der Erfassung, Verarbeitung, Spei- einen vernachlässigbaren Einfluss prüfer zu unterstützen und in der cherung und Berichterstattung von auf die Wirksamkeit des gesamten Konsequenz den Prüfungsaufwand relevanten Daten der Rechnungs- IKS haben. gering zu halten. legung. Aus diesem Grund sind „Material Weakness“ eingestufte, Dem identifizierter Unternehmen zur Erfüllung der Anforderungen des Sarbanes-Oxley- Acts zusätzlich aufgefordert, eine umfassende Beurteilung der IT-Kontrollen vorzunehmen. Nicht nur, dass die Bedeutung von IT-Kontrollen in 15 „Deutschland“ Unternehmen vielfach unterschätzt sagen zu bestimmten Anwendungen Funktionstrennung innerhalb eines wird. Darüber hinaus fehlen oftmals oder Anwendungsmodulen. Letztere Bereichs sowie zwischen verschiede- geeignete unterstützen, über- nen Abteilungen zu realisieren. Es Werkzeuge und Vor- steuern und gehensweisen, einschließlich eines wachen Geschäftspro- besteht ein enger Bezug zwischen konsistenten Rahmenwerks, um eine zesse. Die Geschäftsprozesse selbst den Geschäftsprozessen und den zu- strukturierte Bewertung vorzuneh- beinhalten wiederum eine Vielzahl grunde men. Im folgenden soll ein Überblick interner Kontrollen (Business Pro- weshalb über die verschiedenen Formen von cess Controls). Sie bilden insgesamt Bewertung der Zugriffsberechtigun- Kontrollen im Bereich der Informa- das Steuerungs- und Überwachungs- gen von Mitarbeitern durch die tionstechnologie einschließlich der system des Unternehmens und sollen jeweiligen IT-Security gegeben werden. Ausser- zur risikoorientierten Überwachung erfolgen sollte. dem widmet sich ein eigener Ab- der Finanzberichterstattung beitra- schnitt den oft vernachlässigten Risi- gen. bestimmte liegenden eine Anwendungen, Überwachung und Prozessverantwortlichen ken, die sich durch den Einsatz von Risiken durch den Einsatz von Spreadsheets als Teil der Finanz- Spreadsheets Kontrollen zur IT-Security berichterstattung ergeben. Verschiedene Ebenen helfen zu schützen Systeme und Die einfache Handhabung und die Anwendungen weite Verbreitung von Tabellenkalkulations-Anwendungen unterscheiden, welche Art von Kon- führen trollen auf Anwendungs- und Sys- Besonderer Stellenwert ist Kontrol- dazu, dass Unternehmen oftmals temebene erforderlich sind. len zur IT-Security beizumessen, die Spreadsheets sowohl im operativen den Zugang zu den IT-Systemen des Geschäft als auch im Rahmen der Auf der Ebene der allgemeinen Unternehmens Finanzberichterstattung Computerkontrollen IT wachen. Dies bezieht sich sowohl Eventuelle Risiken, die sich aus der Controls) ist sicherzustellen, dass auf die Anwendungsebene, als auch Komplexität und dem Anwendungs- rechnungslegungsrelevante Informa- den Bereich der allgemeinen Com- zweck tionen trotz oftmals heterogener puterkontrollen. Effektive Kontrollen Programmen ergeben, dürfen nicht Hardware-Landschaften zeitnah, schützen nicht nur das Vermögen des unterschätzt werden. Dies gilt ins- vollständig und richtig zwischen den Unternehmens, sondern stellen darü- besondere hinsichtlich der Finanz- verschiedenen Systemen übertragen ber hinaus die Integrität der Finanz- berichterstattung, denn auch einfache werden. In der Praxis zeigt sich, dass berichterstattung sicher. Kalkulationen können ein hohes die Schnittstellen (General zwischen regeln und über- von einsetzen. Tabellenkalkulations- Fehlerrisiko in sich bergen. Das den Systemen eine besondere Betrach- Auf Ebene der General Computer Risiko steigt zusätzlich durch die tung erfordern, da die beschriebene Controls hat das Unternehmen den Verwendung von Makrofunktionen, Übertragung in vielen Fällen zu Zugang zu den Systemen und Netz- die unbemerkt und im Hintergrund Fehlern führen kann und teilweise werken nach Außen hin zu schützen, eventuell fehlerhafte Berechnungen auch führt. So ist zumindest sicher- was in aller Regel dem Verant- durchführen. Die Praxis zeigt, dass zustellen, dass Fehlerberichte auto- wortungsbereich der IT-Organisation fehlende Kontrollen über Spread- matisch generiert, zeitnah ausge- übertragen werden sollte. sheets bereits zu wesentlichen, teils materiellen, wertet und durch die Zusammen- Falschaussagen von Unternehmen geführt haben. arbeit zwischen IT und betroffenen Auf der Anwendungsebene hingegen Geschäftsbereichen bearbeitet wer- regeln IT-Security-Kontrollen den den. Zugriff der Mitarbeiter auf die Tran- Um diesem Risiko zu begegnen, ist saktionen und weitere Daten inner- es Unternehmen empfohlen, zu- Anwendungskontrollen (IT Applica- halb der eingesetzten IT-Anwendun- nächst tion Controls) beziehen sich vorwie- gen. Die Kontrollen tragen darüber Spreadsheets in wesentlichen Pro- gend auf transaktionsorientierte Aus- hinaus dazu bei, eine angemessene zessen der Finanzberichterstattung 16 zu identifizieren, welche „Deutschland“ zum Einsatz kommen. Darauf auf- Publikation zum Thema bauend ist die Komplexität der Sarbanes-Oxley-Act: Professionelles verwendeten Spreadsheets zu analy- Management sieren, um die erforderlichen Kon- Christof trollen ein- Catherine Jourdan et al., Mai 2004, zurichten. Letztere können beispiels- 382 Seiten, Hardcover, ISBN 3- weise aus einem Zugriffsschutz auf 7910-2284-9, die Datei selbst oder auf einzelne Menzies, Eingabebereiche des Tabellenblatts Schäffer-Poeschel Verlag zu bestimmen und interner Menzies, PwC, Kontrollen, Alan Hrsg. Martin, Christof Frankfurt/Main, bestehen. Zusätzlich ist es ratsam, Veränderungen an den eingesetzten Kalkulationsfunktionen des Spreadsheets zu formalisieren. Durch eine Versionskontrolle wird zusätzlich sichergestellt, das ausschließlich die aktuellste Version des Spreadsheets verwendet wird. Die dargestellte Best-Practice- Methodik für IKS-Projekte kann lediglich einen Überblick über die typischen Projektphasen sowie die Besonderheiten von Kontrollen im Bereich der Informationstechnologie geben. Es wird jedoch deutlich, welche Rolle eine strukturierte Vorgehensweise bei einem Projekt zum professionellen Management interner Kontrollen spielt. Hierdurch ist es möglich, die Zeit- und Terminplanung des Projekts einzuhalten und so die Basis für ein kontinuierlich wirksames IKS zu schaffen. Christof Menzies und Thomas Heinze, PricewaterhouseCoopers, Frankfurt/Main Gerne beantworten wir Ihre allfälligen Fragen [email protected]@, Tel.: (0 69) 95 85-11 22 [email protected]@, Tel.: (0 69) 95 85-11 65 17 Risk Management Risk Management Ces chiffres, et ceux qui suivent, sont L’auditeur informatique ou la (l’Association Française de l’Audit maîtrise des risques en coopération avec le cabinet ASK issus d’une étude menée par l’AFAI et du Conseil en Informatique) – et Conseil – en juin 2003 auprès de ses adhérents, L’auditeur informatique (ou auditeur des systèmes d’information) évalue les risques potentiels d’un environ- La sécurité, principale préoccupation des auditeurs informatiques nement informatique, d’une applica- auditeurs internes ou externes, pour mieux cerner leurs profils et leurs problématiques. Les auditeurs interviennent en pre- tion ou d’un projet. Il ne s’agit pas D’où viennent-ils, quelles sont leurs mier lieu dans des missions concer- seulement d’améliorer la sécurité préoccupations, principales nant la sécurité logique (80%), la physique ou logique mais également difficultés ? Les réponses en chiffres conduite de projets (68%), la revue de garantir la qualité des systèmes avec les résultats d’une étude de d’environnement informatique (66%) informatiques ou leurs capacités à AFAI-ASK Conseil (08/10/2004). ou sur les ERP et revue d’appli- leurs répondre aux besoins de l’entreprise ou du client. cations (58%). Ils sont 58% à La plupart des auditeurs informa- considérer être sollicités trop tard, tiques ont d’abord exercé d’autres notamment sur les projets. Les Souvent liés aux métiers du conseil, fonctions, souvent plus opération- principales raisons invoquées pour de la sécurité ou du contrôle, le nelles (chef de projet pour 30% l’expliquer sont d’ordre budgétaire, métier d’auditeur informatique recèle d’entre eux, responsables informa- liées au mode d’intervention en plusieurs facettes. Si les auditeurs tique/SI financier/ correctif plutôt qu’en préventif, à la sont souvent des gestionnaires avec bancaire – 14%) que techniques sécurité non intégrée dès le début du quelques connaissances informati- (responsable sécurité – 6%, analyste projet avec manque de sensibilisation ques ou des informaticiens avec une programmeur – 6% – ou ingénieur des responsables en entreprises et compétence le d’études – 8%). La majorité d’entre parfois à un climat de méfiance entre métier est accessible à plusieurs eux sont issus de cursus universitaire informatique et audit. profils. Et les compétences infor- (38%), d’écoles d’ingénieur (25%) matiques ne sont pas les plus ou de gestion (16%). organisationnelle, ou auditeur recherchées car l’auditeur n’est pas un technicien, davantage un généraliste de l’organisation et des systè- Domaines dans lesquels les auditeurs informatiques sont les plus fréquemment sollicités mes d’information, souvent issu des Domaines Pourcentage Sécurité logique 80% Conduite de projets 68% Revue environnement informatique 66% ERP/Revue d'application 58% tout dans un contexte ou l’amélio- Production 54% ration de la sécurité et du contrôle Maitrise d'ouvrage et Cahier des charges 54% des procédures est de plus en plus à Analyse de données 50% l’ordre du jour. Nous avons recueilli Développement et rôle des études 46% les témoignages de plusieurs d’entre Recettes 42% eux, ils nous font partager leurs Qualité du code et réalisation 30% Autre 20% milieux financiers ou de la gestion. Parfois considérés comme des «gendarmes», les auditeurs exercent pourtant un métier nécessaire, sur- expériences. Source : AFAI, Enquête auditeurs informatiques, juin 2003 18 Risk Management rencontrées par les auditeurs infor- Fiche métier Profil et carrière Le métier peut s'exercer en entreprise (essentiellement dans les secteurs de l’industrie, les institutions financières et l'administration) ou dans des cabinets d'audit ou de conseil. Un auditeur, comme un consultant, passe le plus souvent par différentes étapes professionnelles au cours de sa carrière : junior en début de parcours, puis senior, manager avant d'espérer atteindre des postes de direction. Principales missions (selon le Syntec Informatique) Formation Langues Compétences Salaire Améliorer la sécurité des systèmes, garantir la qualité des informations transmises, tels sont les principaux objectifs d'un auditeur travaillant dans le département informatique d'une entreprise. Pour remplir cette mission, il effectue une analyse régulière des systèmes d'information, une phase indispensable pour identifier les améliorations à apporter. Ensuite, il doit suivre et accompagner la mise en place de ses préconisations. Il peut également contribuer à l'élaboration de la politique de sécurité informatique et participer à la veille technologique. MIAGE, Ecoles de commerce, Ecole d'ingénieurs, MSG, Bac+4/5 audit, systèmes d'information ou sciences économiques. La maîtrise de l'anglais est souvent indispensable. La pratique d'une deuxième langue est très souhaitée (allemand ou espagnol). Bonne connaissance des systèmes d'information, faculté d'adaptation (essentiellement pour les auditeurs «externes»), capacités d'écoute, d'analyse et de synthèse, qualités rédactionnelles. Pour un auditeur junior (0 à 2 ans d'expérience) Pour un auditeur senior (3 à 5 années d'expérience) Niveau manager (6 à 7 ans d'expérience) Perspectives de 24 à 35 KEuros de 36 à 50 KEuros matiques comme le manque de disponibilité des audités, leur réticence face à leurs interventions, le manque de documentation interne ou la difficulté de convaincre les audités à suivre les plans d’actions et les recommandations. Les étapes les plus délicates à gérer pour eux sont, par ordre d’importance, la conduite du changement, les missions en sécurité et réseaux, l’audit d’applications spécifiques métier, la stratégie informatique, l’infrastructure technique et la définition du cahier des charges. Leurs principaux sujets de préoccupations sont liés aux sollicitations des clients puisqu’ils indiquent à 74% la sécurité, des sujets connexes à la gestion de projets comme les coûts (52%) et le retour sur investissement (36%), la maîtrise applicative (38%) ou la qualité (32%). A noter que les auditeurs sont loin de maîtriser totalement toutes les problématiques de leur métier, ils sont ainsi 76% à faire appel à des experts entre 55–70 KEuros juridiques, fiscaux ou techniques sur certains points de leurs missions Un jeune directeur associé peut espérer gagner à partir de 80 KEuros (22% souvent, 54% un peu). Les Selon l'APEC, le métier d'auditeur informatique offre de belles perspectives, l'élargissement des missions d'audit vers des fonctions opérationnelles et informatique tirerait la croissance dans les métiers d'audit. L'auditeur informatique est de plus en plus demandé par les entreprises appelées à vérifier leurs circuits d'information pour prendre en compte la part des risques laissée par le traitement informatique. C'est le cas des grands cabinets d'audit qui se spécialisent dans le conseil en informatique (sécurité, progiciel, pilotage de projet…). (78%) des méthodes d’audit (COBIT, auditeurs utilisent aussi en majorité ITIL ou autres). Faire de la maîtrise des risques une priorité, c’est la principale recommandation énoncée par les auditeurs pour faciliter l’exercice de leur métier. Ils indiquent également la définition d’un cadre méthodologique ou la sensibilisation des acteurs de l’entreprise à la valeur ajoutée de l’audit informatique. A cela s’ajoute d’autres difficultés 19 Forum Sur les 50 professionnels dont les questionnaires ont été traités, 70% Forum étaient des auditeurs internes, 30% des auditeurs externes. La plupart d’entre eux avaient entre 5 et 10 ans Hallo Max Nein im Ernst, das Anliegen der d’expérience. Ich beziehe mich kurz auf deine „C“-Branche wurden bisher (unter Frage betreffend der Bedeutung des anderem „C“ in dem Ausdruck ICT. Ich bin Ausdruck „IT“ zu wenig beachtet der Repris avec la permission de l’AFAI auch) wegen unserem oder teilweise vergessen. Ein Bei- Zeitalter das „C“ unbedingt zu dem spiel: Bei den Ausbildungsfragen hat Ausdruck dazu gehört. Ich verstehe man Jahre lang nur von Infor- unter „C“ommunication tatsachlich matikern auch den gewöhnlichen Telefon- und Telematiker völlig vergessen. Meinung, dass in geredet und Funkverkehr bzw. die Technologie, die zum Managen sehr IT(Data)- Freundliche Grüsse lastig geworden ist und immer mehr Tarik Oelmez mit IT(Data) zusammen schmilzt, ich Leiter TeleCom MTLS meine nicht nur VoIP sondern auch Mettler-Toledo GmbH UMS, CTI im konventionellen Um- Naenikon feld usw. Wenn man nur von IT spricht, versteht ein „gewöhnlicher“ Mensch, wie dieser auch in Bern zu finden ist, nur das Windows und ERP :-). Ein Preusse reiste über Braunschweig nach Hessen, Und wollte in Bayern mit Lederhosen sich messen. Er erwischte aber den falschen Zug und fuhr – Richtig: Statt zur Isar zum Rhein und zur Ruhr. Statt in München tat er in Essen nun Kirschen essen. There was an auditor fellow from Germany He managed to commit many a felony. He would not listen to reason – The judge sent him to prison. And there he found everything else but harmony. 20 diesem z.B. die Express Line spectively. The copy deadline for Express Line volume 2 is 1 December 2004, and the theme is IT Governance. The copy deadline for volume 3 is 1 A Word from the Chair Beginning in November 2005 Bulletins of Information Available February 2004, and the theme is the Value of IT. For more information, 2004, please view the 2005 editorial ISACA International Headquarters A copy of the 2005 Bulletin of Infor- calendar at www.isaca.org/journal or will annually provide chapters with mation for each certification can be e-mail [email protected]. CISA® and CISM® pins free of obtained via ISACA’s web site charge. Chapters will receive pins for (www.isaca.org) in a downloadable those members fully certified from 1 format or requested from the certifi- January 2003 through 31 October cation department at 2004, along with a complete list of [email protected]. names and designations. ISACA encourages chapters to acknowledge the accomplishments of these CISAs CISA Job Analysis and CISMs by hosting an event to present the pins. Local chapter To date, task force meetings, focus support of these professionals should groups and interviews with subject result in additional membership, matter experts have been conducted. membership retention and increased The purpose of these activities has attendance at chapter educational been to create a current view of the events. tasks performed by CISAs and the knowledge required to perform these tasks. The final step of the study was Sunil Bakshi the conduct of a detailed survey last Chair, Membership Board month with a sample of 3,000 CISAs worldwide to validate and comment on this work. The results will now be Certification Update reviewed by the CISA Certification Board and will help ensure that the ISACA has applied with the Ameri- CISA examination continues to meet can National Standards Institute the highest standards for professional (ANSI) for ANSI accreditation of the certification and is representative of CISA and CISM certification pro- the work and knowledge required of grams. ANSI accreditation is based CISAs in practice. on the new International Standard ISO/IEC17024, “General Requirements for Bodies Operating Certification Systems of Persons,” which is expected to play a prominent role in News Briefs facilitating Journal Update global standardization of the certification The Information Systems Control community, mobility Journal® is seeking articles for among countries, enhancing public volumes 2 and 3, 2005, to be issued safety and protecting consumers. in March and increasing May 2005, re21 The ISACA Crossword Puzzle The ISACA Crossword Puzzle 5/04 Dieses Rätsel ist auf englisch und hat mit dem Schwerpunktthema dieser 1 2 Nummer zu tun. Autor ist der Resind an ihn 4 5 9 daktor. Lösungen, Kommentare und Reklamationen 3 zu 6 7 8 10 12 11 13 14 15 richten. 16 Across: Gabriel is one of them (pl); 9 form of to have; 10 metallic mineral; 11 CS Rubidium; 12 part of Ger- 17 20 21 24 25 18 22 26 19 23 27 man capital; 14 be confounded (sh = 1 ch); 16 Gaelic Ireland; 17 as 28 29 30 good as dynamite; 19 Roman greeting; 20 capital of 15 down; 22 the relief baseball pitcher’s pride (pl); 24 United States Steamer; 25 cloth 31 32 36 37 border; 27 tin vessel; 28 sailor; 31 bakery product; 33 beginning and end of Greek alphabet; 34 any Roman should have been able to count to this; 36 these Germans have ancient 33 38 40 43 34 39 41 44 42 45 48 49 35 46 50 47 51 East British relatives (pl); 38 being upright; 40 the sharp base key in music; 41 52 53 54 57 58 colour; 42 this (F); 43 the long 60 61 55 56 59 62 63 country in South America lacks the last character; 45 i.e. in German; 46 Arab prince; 48 junk food, if combined with a canine creature; 49 64 65 66 68 67 69 this German river is predominant in England; 51 preposition; 52 Down: 1 instrument for splitting face; 30 duck type Nordic bird; 31 striking off the initial “o”, JFK wood; 2 connected series of links science of the soul; 32 set in motion; claimed to be one; 55 every boy (pl); 3 a German Anne; 4 enquire; 5 35 urge; 37 lubricant; 39 can be high starts that way; 57 article (I); 58 flowing garment; 6 German pro- or low, but it needs an "i"; 41 canary type bird; 60 that is how the noun; 7 Becky’s sister in the Old German river; 44 tramp; 45 Donald teeny-weeny yellow polka dot bikini Testament; 8 shrub (pl, sh = 1 ch); Duck’s darling in the plural; 47 short starts; 62 formal expression of 11 blackbird; 12 “the” German mother; 49 this modern “letter” lacks opinion (pl); 64 this African country homeland; 13 not this; 15 Southern all vowels; 50 send signals to the lost its vowels; 66 flat cap; 67 German State; 16 Australian ost- brain (pl); 53 rodent; 54 tumult; 56 followed one in Roman times; 68 rich; 18 initials of Huck Finn’s initial ground; 59 no preferred suit in type of seagoing vessel (pl); 69 five friend; 21 same as 2 down; 23 lacks bridge (abb); 60 the “h” is missing at equal consonants. a return in tennis; 26 film star the end of this small measure; 61 so Farrow’s first name; 29 part of the be it without a sound; 63 usually 22 The ISACA Crossword Puzzle very cold in Germany; 65 CS Lösung 4/04: regulieren Barium. Senkrecht: 1 A(r)zt; 2 hellrot; 3 Ai; 4 WG; 5 Bo; 6 Schei(n); 7 les; 8 Ob; 9 Es wurden weniger als fünf Lösun- Beule; 10 Elle; 11 Ill; 12 leiern; 14 gen eingesandt. Tuecken; 15 Licht; 16 Kontrollsysteme; Die Lösung liegt in den markierten 18 allerlei; 21 Ern; 24 Oer; 25 SH; 26 Feldern. Dieses Wort ist auf einer Waagrecht: 1 aha; 5 BS; 7 Leo; 9 Beil; Herpes; 28 FK; 29 En; 31 Einer; 35 Postkarte M.F. 13 Zeitglocke; 17 Baelle; 19 T(ei)l; 20 heben; 36 Gerte; 40 Fe; 42 liq; 43 Stoos; Bretscher, Oberrenggstrasse 8, 8135 Hose; 22 Lully; 23 loeschen; 27 Rolle; 44 Tadel; 46 Oz; 49 (Inter)net; 51 Langnau a/A. Lösungen werden auch 28 Frechheiten; 30 EE; 31 er; 32 Kork; Summe; 52 Bedenken; 53 Ea; 54 entgegengenommen unter der e- 33 TR; 34 Rn; 35 H(uman) R(esources); Wissen; 57 Tn; 60 nennbar; 63 trennen; mail-Adresse 35 Gin; 37 et; 38 pro; 39 helfen; 43 Sn; 65 extrem; 67 re; 69 Argus; 71 Oge(r); [email protected]. 44 té; 45 lo; 48 Beeren; 50 ist; 52 72 an; 74 leset; 75 beg; 76 (Al)oisiu(s); Einsendeschluss ist der 20. Januar Baselzwei; 55 tre; 56 quoted; 58 As; 59 77 ue; 78 Sils; 81 Eia; 83 Uwe; 85 and; 2005. in; 60 NE; 61 Mondes; 62 yes; 63 je; 65 87 Do; 89 Nr; 90 or; 91 Tu(tu). zu senden an Ems; 66 el; 67 RS; 68 SA; 70 Nora; 73 If there are less than 5 answers, or Xe; 74 ln; 75 Betoerungen; 78 Sekte; 79 Watson: Der Buchstabe V fehlt im the solution has not been found, the eingeben; 80 Reise; 82 gums; 84 na; 86 Alphabet (die fehlende Nummer 41 $US 50 go into the Watson Jackpot eilend; 88 Weinsorten; 92 Mast; 93 Ode; war nicht beabsichtigt). to be carried forward to the next 94 Ur; 95 und. Keine richtige Lösung, somit befin- issue. Watson: Each puzzle contains den sich US$ 100.– im Watson- some anomaly that is to be detected. Jackpot. If correctly identified, the Watson Jackpot is broken and replenished with $US 50 for the next issue. acrossview v Dr. Josef Kurmann Independent Guidance & Assurance Sarbanes-Oxley Consulting for Business & IT Controls IT Governance Consulting Project Management & Coaching Project Audit & Assurance Services acrossview v Dr. Josef Kurmann Peter Merian-Strasse 58 4002 Basel Tel. +41 61 205 44 33 [email protected] 23 DACH-News Fréquence par branches DACH-News e. Ces tests sont systématiques dans le domaine bancaire et dans les D: CH: assurances, où ils sont effectués annuellement ou tous les deux ans. Member Entwicklung des ISACA German Chapter f. D’autres entreprises actives dans Tests de pénétration en Suisse des domaines sensibles (notamment télécommunications ou sécurité) ou disposant d’applications ouvertes sur Mit großer Freude können wir auf eine äußerst positive Entwicklung A la demande d’un organe parle- l’extérieur (portails Internet) effec- der Mitgliederzahlen des ISACA mentaire, le Contrôle fédéral des tuent également régulièrement de tels German Chapters in den letzten finances tests. Jahren zurückblicken. Aus diesem enquête auprès de quelques spé- g. Plusieurs administrations canto- Grund wollen wir in diesem News- cialistes de l’audit informatique, afin nales effectuent ponctuellement ou à Letter einmal die Entwicklung gra- de faire un état des lieux sur les tests intervalle régulier de tels audits. fisch vorstellen, insbesondere, da wir de pénétration en Suisse. Les points h. Ces tests ne sont que très peu die magische Größe von 700 Mit- suivants peuvent être intéressants pratiqués dans le domaine industriel glieder überschritten haben. Die Zah- pour les membres de l’ISACA: ou commercial. Méthodes Michel Huissoud a effectué une rapide len stammen jeweils aus dem Monat Dezember, lediglich die Mitgliederzahl für 2004 stammt aus dem Vice-directeur CDF Oktober. a. La notion de « tests de pénéVorstand ISACA German Chapter tration » couvre des activités qui vont de la tentative de pénétrer dans 800 700 600 500 400 300 200 100 0 un système à l’aveugle et sans avertissement préalable des utilisateurs à une démarche 2001 2002 2003 2004 précédée du Aufgrund eines Auftrags einer Par- système. Cette dernière démarche est lamentskommission hat die eidg. celle que la majorité des intervenants Finanzkontrolle eine Umfrage bei préconise. einer Anzahl von Informatikspezia- b. Certaines entreprises confient à listen in der Schweiz durchgeführt. des externes des tâches de sur- Ziel der Übung war, einen aktuellen veillance permanente qui peuvent Stand über die Art der Penetrations- comprendre des tests de pénétration. tests in der Schweiz zu erhalten. Die c. De tels tests sont souvent intégrés folgenden Feststellungen könnten für dans les tests précédant la mise en alle Mitglieder der ISACA inte- production de nouvelles applications ressant sein: d’une 2000 ouverte Tigerattacken in der Schweiz analyse des lacunes ouvertes sur Internet (par exemple à Genève pour le e-voting). d. Ces effectués tests par sont des externes à l’entreprise. généralement Methoden spécialistes a. Der Begriff „Penetrationstest“ wird nicht überall gleich verstanden. Die Interpretationen reichen vom 24 DACH-News „Blindekuhspiel“ bis zu einer unter Mitwirkung aus dem Benutzerkreis Die CISA-Vorbereitungskurse sind Spitze! „unterstützten“ Attacke. Die Mehrheit der Befragten bekannte sich zum Blödsinn? Um die zwanzig unentwegte Neu- Peter Bitterli rapportiert: letzteren Konzept. gierige wagten sich am 20. Oktober 2004 ins Landesmuseum zum bei- b. Gewisse Unternehmen vergeben Wir haben in unseren Kursen gleich nahe schon traditionellen After Hour die Überwachung ihrer Netzwerke an zwei neue Rekorde aufgestellt: Seminar des ISACA Switzerland Dritte. Deren Aktivitäten können Chapters. Angesagt war die The- durchaus auch Penetrationstest ent- Im CISM-Kurs haben 83.33% (5 von matik halten. 6) die Prüfung 2004 bestanden. Wintersport. Als derjenige Schwei- c. Solche Tests werden oft einge- Dieser neue Rekord war leicht, da zer, der nie auf Skiern oder Snow- setzt, bevor eine Anwendung der wir bis anhin keinen CISM-Kurs boards stand, war ich besonders Produktion freigegeben wird (z.B. hatten. gespannt, was dies denn mit Infor- die elektronischen Abstimmungen Risikomanagement im matikrevision oder -sicherheit zu tun im Kanton Genf). Im CISA-Kurs haben 95.24% (20 d. Die Tests werden mehrheitlich von 21) die Prüfung 2004 bestanden. durch externe Spezialisten ausge- Dies übertrifft unseren bisherigen Peter Bitterli präsentierte die Beob- führt. Rekord aus dem Jahr 2002 (91.4%) achtungen des Bergführers Werner haben könnte. Munter. Dieser hatte vor über einem CISA-/CISM- Jahrzehnt die traditionellen Ansich- Abendessen (im Anschluss an das ten bezüglich Lawinenauslösung und Am Häufigkeit nach Branchen diesjährigen After-Hour Seminar vom 20. Okto- -sicherheit über Bord geworfen und e. Am häufigsten sind solche Tests ber ein bei Banken und Versicherungen gebührend gefeiert. 2004) wurde entsprechend „einfaches“ Instrument zur Risikobeurteilung entwickelt: Die anzutreffen, wo sie jährlich oder zu- Formel der Reduktionsmethode und mindest alle zwei Jahre durchgeführt 3x3 (nicht 4x4!). Sehr „einfach“ werden. behauptet er, das Gefahrenpotential f. Andere Branchen verwenden sei zu beziffern und durch erkannte diese Art Tests nur in sensiblen Be- Reduktionsfaktoren zu teilen. Ist das reichen und Resultat unter 1, ist das Risiko Sicherheit) oder wo gegen aussen (Telekommunikation akzeptabel. Die 3x3-Methode als „offene“ Ergänzung setzt die (Wetter-)Ver- Systeme zum Einsatz gelangen (Internet). hältnisse, das Gelände und den Men- g. Mehrere kantonale Behörden und schen regionalen, lokalen und zona- Ämter führen derartige Tests punk- len Gegebenheiten in einer Matrix tuell oder regelmässig durch. gegenüber. So einfach. So einfach? h. Im kommerziellen Sektor und bei der Industrie gelangt diese Art von Peter Bitterli vermittelte den Ein- Tests sehr wenig zum Einsatz. druck, dass er von der Methode überzeugt ist. Mit Statistiken und illustrativen Beispielen inklusive Michel Huissoud Videofilm versuchte er zu belegen, Vizedirektor eidg. Finanzkontrolle dass die Methode funktioniert. Schliesslich vermutete er, dass es so Übersetzung: Max F. Bretscher etwas auch für die Informatikrevision geben müsste. Nur die richtigen Faktoren wären zu finden. 25 DACH-News Seiner Erfahrung nach liegen die Hauptursachen für „Computer- unfälle“ seit Jahrzehnten beim Menschen und der Organisation. Auf die Frage angesprochen, ob jemand ein solches 3x3-Instrument begrüssen würde, Anwesenden bezeugten die praktisch alle ihre Zustimmung. Die anschliessende Diskussion stellte in der Folge die Behauptung auf, wenn ein solches Instrument zur Verfügung stünde, wären wohl Informatikrevisionen (Bitterli’s Behauptung folgend) auf das Begutachten von Organigramm und Anstellungs- Ableitungen zulässt. Eine Schutz- politik beschränkt. Somit wären wir behauptung? bald überflüssig. Bemerkung: Wurden durch die 3x3-Methode Berg- Zurück zum Informatik 3x3: Wie führer überflüssig?! Experten sind wäre es mit den Risikofaktoren eben nötig, um die richtigen Faktor- Software, Zugriff, Zutritt, Mensch ziffern zu bestimmen. (Betreiber und User) und den zweiten Dimensionen Theorie und Ebenso wurde angeführt, dass viele Praxis? Dies wäre dann zwar 4x2, Informatikbetreiber die Warnfinger aber der Informatik- und Sicherheits- schlauere Idee, um unseren Beruf- revisoren missachten und sich trotz stand zu eliminieren? immerhin. Wer hat eine „roter Situation“ den Befehl zum Vormarsch in die „Lawinengebiete“ Zum Schluss noch drei wurmstichige geben. In diesem Zusammenhang sei Bemerkungen: darauf verwiesen, dass in den Dolo- n Es tat wohl, an einer ISACA- miten im ersten Weltkrieg etwa Veranstaltung einmal etwas anderes 50 000 Soldaten in Lawinen um- als ausschliesslich Informatikprob- kamen, von denen gerade in den leme zu wälzen. letzten Wochen einige mumifizierte n Ein Chefoperateur eines dama- Österreicher von den Schneemassen ligen Grosscomputers sagte schon freigegeben wurden… 1969 (!) zu mir: „Wer meinen Computer benutzt, ist selber schuld.“ Weiter wurde vermutet, dass die n Peter Bitterli brach sich im Natur (auch wenn sie sehr komplex Februar sein mag) gewissen Regeln folgt, skifahren den Oberschenkel. und Schlussfolgerungen 2003 gezogen werden können, die rasante Entwicklung der Informatik dagegen keine „mathematisch formelhaften“ 26 Max F. Bretscher beim Varianten- DACH-News News aus den Interessengruppen IG Government IT-Audit avec la recherche, l’acquisition et („Closed user group“) l’analyse de preuves informatiques, tous les intéressés de tout niveau de connaissance sont les bienvenus. Michel Huissoud, CISA, CIA IG Operational IT-Risk Eidg. Finanzkontrolle/ Contrôle fédéral des finances Neu! Monbijoustr. 45 IG Einführung von 3003 Bern IT-Governance Peter R. Bitterli Tel. +41 31 323 10 35 Bitterli Consulting AG Fax. +41 31 323 11 00 Rolf Merz Konradstrasse 1 [email protected] Ernst & Young AG Brunnhofweg 37 8005 Zürich Tel. + 41 1 440 33 60 La participation à ce groupe est Postfach 5032 Fax. +41 1 440 33 61 réservée 3001 Bern [email protected] organes de contrôle. aux collaborateurs des Tel. +41 58 286 66 79 Fax. +41 58 286 68 27 [email protected] Die Interessensgruppe “Operational IT-Risk“ hat sich in den vergangenen IG Computer Forensics schäftigt, welche (IT-) Sicherheitsanforderungen in den verschiedenen Letzte Sitzung: Kick-off Sitzung am 4. März 2004, bei Ernst & Young Monaten intensiv mit der Frage beNouveau! AG, Zürich Gesetzen und Verordnungen (Basel Paul Wang Nächste II, EBK-Richtlinien, HIPAA, CFR PricewaterhouseCoopers 2004, 13.30–17.00 Uhr bei Ernst & Sitzung: 14. Dezember 11, EU Datenschutzgesetz, DSG und Avenue Giuseppe-Motta 50 Young AG, Zürich VDSG usw.) vorkommen. Die Arbeit 1211 Geneva 2 hat zu ein paar interessanten Er- Tel. +41 22 748 56 01 Traktanden: kenntnissen aber wenig direkt in die Fax. +41 22 748 53 54 n Präsentation Praxis umsetzbaren Ergebnissen ge- Mobile: +41 79 220 54 07 Pilotprozesse PO1 und PO10 führt. [email protected] n Festlegen Weiteres Vorgehen Die Interessengruppe “Operational L’objectif de ce groupe de discussion IT Risk” plant in der jetzigen Phase lié aux « Computer Forensics », est eine Kochbuch-ähnliche Anleitung de fournir un forum d’intérêt et Weitere Interessenten können sich für das Management von IT-Risiken, d’information sur les méthodologies bei Rolf Merz anmelden. welche vor allem für KMU, für et les outils de ce qu’on appelle Unternehmen ohne grosse Sicher- communément en français « Assis- heitsanforderungen an die IT oder tance informatico-légale » Ce forum für die ersten Schritte in ein um- offre la possibilité de partager des fassenderes IT-Risikomanagement idées, des technologies, des outils et Vacant : touts personnes intéressées (analog COBIT Quickstart) gedacht certainement aussi des notions juri- à participer ou animer un groupe de ist. Für diese zweite Phase werden diques de ce domaine en constante travail ou tous ceux qui aimeraient noch zwei bis drei neue Mitglieder évolution. Ce groupe de discussion proposer un thème de réflexion gesucht; arbeitswillige Personen mit abordera également des discussions peuvent s’annoncer auprès de M. genügend Zeit sollen sich bitte (er- techniques et procédurales sur les Paul Wang. neut) an den IG-Leiter wenden. prérequis en matière de recherche de [email protected] der beiden n Themen, Ziele und Organisation der nächsten Sitzung IG Romandie preuves informatiques. Même si les participants doivent être familiers 27 DACH-News IG Outsourcing/Insourcing Ulrich Engler Nächste Sitzungen: Für Informatio- n Im Portal im UME muss ange- nen melden Sie sich bitte bei Daniel geben werden, auf welche Daten der Oser. Zugriff erlaubt ist. Swiss Life n Die Java-Entwicklung sollte in CF/REV HG 3151 einem EU-Umfeld (EntwicklungsIG SAP R/3 General-Guisan-Quai 40 unit) gemacht werden. n Java ist schwierig zu prüfen, Postfach, 8022 Zürich Telefon +41 43 284 77 58 Monika E. Galli Mead eigentlich fast unmöglich. Telefax +41 43 284 47 33 Eidg. Finanzkontrolle n Man kann aber die Rückmeldung [email protected] Monbijoustrasse 51a (XE) 3003 Bern Prüfverfahren einzurichten. Nächste Sitzung: Offen. Interessen- Tel. +41 31 324 9495 n Man sollte die Schnittstellen von ten melden sich bei Ueli Engler. Fax. +41 31 323 1101 SAP (Web AS) verwenden. [email protected] Wegen prüfen; dazu ist Sicherheitsrisiken ein ist es besser erst ab Web AS 6.40 und XE Mögliche Themen: Kontiniuität des Insourcers, Abhängigkeit vom In- Aus dem Protokoll der IG-SAP vom Java zu verwenden. sourcer (Konkurs), Überarbeitetes 13. Mai 2004: n Zur weiteren Sicherheit empfiehlt Rundschreiben EBK, Fernwartung, Herr Bolli (Bundesamt für Infor- es sich, eine SSL-Zertifizierung zu etc. matik machen. und Telekommunikation, CCSAP Entwicklung und QualitätsGeplant sind Gespräche zum Thema sicherung) zeigte die Veränderungen Wie „Grounding“ eines IT Service Provi- auf, die durch den Einsatz von WEB- Zukunft aus? ders mit ausgewählten Gesprächs- Applikations-Server und damit der n ABAP wird mindestens noch partnern aus den Bereichen Legal, Programmiersprache Java auf uns fünf Jahre zur Entwicklung verwen- Service zukommen. det, nur neue Features und Portale Provider, Industrie und voraussichtlich die usw. verwenden heute schon Java. Financial Services. IG MIS/EIS/DWH sieht Der Input ins SAP-System kommt n Web AS 6.40 wird mit ABAP vom SAPGUI und vom Internet zum verwendet und ist im Enterprise 4.7 Verbindungsserver und von da in Release. beiden Formaten zur Datenbank. Der Leitung: SAP WEB Dispatcher entscheidet Herr Kowalski (Bundesamt für Infor- Daniel Oser auf welche Queue (Instanz) der Input matik Ernst & Young AG geht. CCSAP und Telekommunikation, Entwicklung) stellt uns CRM Internet Sales vor. Um die Badenerstrasse 47 Postfach 5272 In Java wird weniger programmiert, Regel des BIT „von aussen keinen 8022 Zürich sondern vielmehr modelliert. Das Zugriff auf innen“ zu beachten, Tel. +41 58 286 34 39 Change Management System macht wurde folgende Lösung angewandt: Fax. +41 58 286 32 76 eine Versionen-Verteilung-Comp. Kunde gibt Daten vom Internet (aussen) und SAP holt sie ab (innen). [email protected] Wichtige Erkenntnisse: Um den Ausgleich im FI-Bereich Letzte Sitzung: Freitag, 16. Januar n Java sollte nie direkt auf das flüssig 2004, bei Ernst & Young AG, Zürich SAP-System zugreifen, sondern über Clearing der Kreditkarten mit der API Software „Matchbox“ gemacht. (Application Programming zu gestalten wird das Traktanden: Interface) auf die Datenbanken zu- n Referenzmodell Data Load greifen oder über UME-API (User Das heisst: Aufwand verbucht = n Risk Matrix Management Erlösminderung verbucht. „Match- n Fact Sheets Programming Interface). 28 Engine Application box“ mit Referenznummer kann DACH-News beim Input oder beim Clearing installiert sein. Jedes Kreditinstitut hat ein eigenes Format. Frau Galli stellt kurz die Präsentation „Stand der Sicherheit der in der Schweiz eingesetzten SAP-Systeme“ von Herrn Altmeier, dem Leiter der Arbeitsgruppe SAP der FGSec, vor. Herr Altmeier hat diese Präsentation beim Anlass der FGSec vom April 2004 vorgestellt. Einige der Anwesenden waren an dieser Veranstaltung. Erfahrungsaustausch n Die Liste der neuen Aktivitäten im System unter Enterprise wird nochmals versandt werden. n Der Link zu Herrn Schiweks AIS-Präsentation zu den Änderungen mit Enterprise 4.7 wird nochmals versandt werden. n Eine Liste der neueren SAPHinweise im Zusammenhang mit Security im SAP wird versandt werden. n Eine IBS-News-SAP über die Zukunft mit SAP wird versandt werden. Interessenten Monika Galli, können Leiterin sich bei IG-SAP melden. 29 Veranstaltungen Veranstaltungen Praxisgerechte Anwendung des BS7799/ISO17799 22.–24. November 2004 Zürich, 3 Tage, ITACS Training AG CISA Vertiefungskurs 26. November 2004 – 23. Mai 2005 Anmeldung noch möglich! Zürich 17 Tage, ISACA CH / ITACS CISM Vertiefungskurs 3. Dezember 2004 – 24. Mai 2005 Anmeldung noch möglich! Zürich 13 Tage, ISACA CH / ITACS BS7799 Lead Auditor Kurs 6.–10. Dezember 2004 Zürich, 5 Tage, Infosec Service Management - ITIL Foundation Training – Auf der Basis de factoStandards ITIL mit Links zur BS 15000 Zertifizierung 16.–18. Februar 2005 Application Security Lab – Workshop zum Thema Sicherheit von Web-Anwendungen 15.–17. März 2005 COBIT User Convention 11.–12. April 2005 Zürich, 3 Tage ISACA CH/glenfis Zürich, 3 Tage, ISACA CH/Compass TBA (Europa), 2 Tage, ISACA Internet Security Lab – Workshop mit Angriffsszenarien und Abwehrmassnahmen 20.–22. April 2005 Evidence Lab – Workshop über die Spurensuche in Computersystemen 11.–13. Mai 2005 Zürich, 3 Tage, ISACA CH/Compass Zürich, 3 Tage, ISACA CH/Compass ITIL Business Continuity and IT Service Continuity – Von Business Continuity zur IT Disaster Recovery auf der Basis des de facto-Standards ITIL 25.–27. Mai 2005 International Conference 19.–22. Juni 2005 Zürich, 3 Tage, ISACA CH/glenfis Oslo, 4 Tage ISACA 30 Veranstaltungen Kontaktadressen Veranstalter Hochschule für Technik Rapperswil Marcus Evans Institut für Internet Technologien Weteringschans 109 und Anwendungen 1017 SB, Amsterdam Der NewsLetter empfiehlt folgende Oberseestrasse 10 The Netherlands Veranstalter 8640 Rapperwil Tel. +31 20 531 28 13 Tel. +41 55 222 41 11 Fax. +31 20 428 96 24 Fax. +41 55 222 44 00 www.marcusevansnl.com (weitere Kurse Unterlagen direkt anfordern): AFAI und [email protected] MIS Training Institute Tel. +33 1 55 62 12 22 [email protected] IIR-Akademie Nestor House www.afai.asso.fr Ohmstr. 59 Playhouse Yard P.O. Box 21 D-60468 Frankfurt/Main GB-London EC4V 5EX advanced technology seminars Tel. +49 69 7137 69-0 Tel. +44 171 779 8944 Grundgasse 13 Fax. +49 69 7137 69-69 Fax. +44 171 779 8293 CH-9500 Wil [email protected] www.misti.com Fax. +41 71 911 99 16 InfoGuard AG MediaSec AG [email protected] Feldstrasse 1 Tägernstrasse 1 CH-6300 Zug 8127 Forch/Zürich Stiftung für Datenschutz und Tel. +41 41 749 19 00 Tel. +41 1 360 70 70 Informationssicherheit Fax +41 41 749 19 10 Fax. +41 1 360 77 77 Dr. Beat Rudin www.infosec.com [email protected] Postfach Integralis GmbH Secorvo Security Consulting GmbH CH-4010 Basel Gutenbergstr. 1 Secorvo College Tel. +41 61 270 17 70 D-85737 Ismaning Albert-Nestler-Strasse 9 Fax +41 61 270 17 71 Tel. +49 89 94573 447 D-76131 Karlsruhe [email protected] Fax +49 89 94573 199 fx Tel. +49 721 6105-500 www.privacy-security.ch [email protected] Fax +49 721 6105-455 Tel. +41 71 911 99 15 Kirschgartenstrasse 7 [email protected] ISACA CH www.secorvo.de e-tec Security Kurssekretariat PO Box 54 c/o ITACS Training AG Treuhand-Kammer Wilmslow Chesire SK9 6FU Konradstrasse 1 Jungholzstrasse 43 United Kingdom 8005 Zürich Postfach [email protected] Tel. +41 1 440 33 64 CH-8050 Zürich Fax. +41 1 440 33 61 Tel. +41 1 305 38 60 [email protected] Fax. + 41 1 305 38 61 D-40235 Düsseldorf ISACA USA ZfU Zentrum für Tel. +49 211 96 86 300 3701 Algonquin Rd #1010 Unternehmensführung AG Fax. +49 211 96 86 509 USA_Rolling Meadows IL 60008 Im Park 4 [email protected] Tel. +1 847 253 15 45 CH-8800 Thalwil Fax. +1 847 253 14 43 Tel. +41 1 720 88 88 www.isaca.org Fax. +41 720 08 88 Euroform Deutschland GmbH Hans-Günther-Sohl-Strasse 7 [email protected] 31 Germany Chapter Germany Chapter Vereinsadressen Public Relations Heinrich Geis Geschäftsstelle Deutsche Börse AG ISACA e.V., German Chapter Neue Börsenstrasse 1 Eichenstr. 7 D-60487 Frankfurt D-46535 Dinslaken Tel. +49 692 101 5149 Tel. +49 2064 733191 Fax. +49 692 101 4396 Fax. +49 2064 733192 [email protected] [email protected] Arbeitskreise und Facharbeit Präsidentin Bernd Wojtyna Karin Thelemann WLSGV-Prüfungsstelle Ernst & Young AG Regina-Portmann-Strasse 1 Wirtschaftsprüfungsgesellschaft D-48159 Münster/Westfalen Mergenthalerallee 10–12 Tel. +49 251 288 4253 oder 65760 Eschborn/Frankfurt am Main +49 251 210 4539 Tel. +49 6196 99626 488 [email protected] Fax. +49 6196 99626 449 [email protected] Publikationen Ingo Struckmeyer Konferenzen comdirect private finance AG Markus Gaulke Pascalkehre 15 KPMG 25451 Quickborn Marie-Curie-Str. 30 Tel. +49 4106 704 2336 D-60439 Frankfurt Fax. +49 4106 704 2301 Tel. +49 69 9587 2313 [email protected] Fax. +49 69 9587 192313 [email protected] CISA-Koordinator Michael M. Schneider Mitgliederverwaltung und Deloitte & Touche Kassenwart Schumannstraße 27 Norbert Gröning 60325 Frankfurt am Main PwC Deutsche Revision AG Tel. +49-69 75606 121 Friedrich-List-Str. 20 Fax. +49-69 75695 84448 D-45128 Essen [email protected] Tel. +49 201 438 0 Fax. +49 201 438 1000 Norbert.Groening@ de.pwcglobal.com 32 Austria Chapter Austria Chapter Vereinsadressen Kassier Mag. Helmut Zodl Vorsitzender (Präsident) IBM Österreich Ing. Mag. Dr. Michael Schirmbrand, Obere Donaustraße 95 CIA, WP, StB 1020 Wien Europa Treuhand Ernst & Young Tel: +43 1 21145-0 Praterstraße 23 [email protected] 1020 Wien Tel: +43 1 211 70-2831 CISA-Koordinator [email protected] Mag. Maria Rieder Münze Österreich AG Stellvertretender Vorsitzender I Am Heumarkt 1 (Vizepräsident I) 1010 Wien Dipl.-Ing. Maria-Theresia Stadler, Tel: +43 1 71715-0 Österreichische Kontrollbank [email protected] Aktiengesellschaft Strauchgasse 1–3 Public Relations/Newsletter- 1010 Wien Koordination Tel: +43 1 531 27-857 Rolf von Rössing [email protected] MA, D.E.s.s, CBCP, MBCI Europa Treuhand Ernst & Young Stellvertretender Vorsitzender II Praterstraße 23 (Vizepräsident II) 1020 Wien Mag. Josef Renner, StB Tel: +43 1 211 70-2812 GRT Price Waterhouse [email protected] Prinz-Eugen-Straße 72 1040 Wien E-Mail ISACA Austria Chapter: Tel: +43 1 50188-0 [email protected] Homepage ISACA Austria Chapter: Sekretär www.isaca.at Mag. Gunther Reimoser, CISA Europa Treuhand Ernst & Young Praterstraße 23 1020 Wien Tel: +43 1 21170-4113 [email protected] 33 Switzerland Chapter Switzerland Chapter Vereinsadressen CISA/CISM-Koordinator Marketing Thomas Bucher Bruno Wiederkehr Präsidentin Deloitte & Touche AG Rigistrasse 3 Daniela S. Gschwend Klausstrasse 4 CH-8703 Erlenbach Swiss Re 8034 Zürich [email protected] Mythenquai 50/60 Tel. +41 44 421 64 22 8022 Zürich Fax. +41 44 421 66 00 Homepage ISACA Switzerland Tel. +41 43 285 69 36 [email protected] Chapter: www.isaca.ch Fax. +41 43 285 33 69 [email protected] Sekretär c/o Präsidentin Vizepräsident Michel Huissoud, CISA, CIA Information & Kommunikation Eidg. Finanzkontrolle/ Monika Josi Contrôle fédéral des finances Novartis Animal Health Monbijoustr. 45 Global Information Technology 3003 Bern WRO-1032.1.90 Tel. +41 31 323 10 35 4022 Basel Fax. +41 31 323 11 00 Tel. +41 61 697 72 41 [email protected] Fax. +41 61 697 78 44 [email protected] Kassier Adressmutationen bitte hier melden. Pierre A. Ecoeur, CISA Thurgauer Kantonalbank Koordinator Interessengruppen Bankplatz 1 Rolf Merz 8570 Weinfelden Ernst & Young AG Tel. +41 71 626 64 61 Brunnhofweg 37 Fax. +41 71 626 63 60 Postfach 5032 [email protected] 3001 Bern Tel. +41 58 286 66 79 Ausbildung/Kurssekretariat Fax. +41 58 286 68 27 Peter R. Bitterli, CISA [email protected] Bitterli Consulting AG Konradstr. 1 Représentant Suisse Romande 8005 Zürich Paul Wang Tel. +41 1 440 33 60 PricewaterhouseCoopers Fax. +41 1 440 33 61 Avenue Giuseppe Motta 50 [email protected] 1211 Genève 2 Tel. +41 22 748 56 01 Fax. +41 22 748 53 54 [email protected] 34