Compliance- und Operatives Risiko-Management

Operational Risk Management (ORM) – und insbesondere IT-Risikomanagement – ist eine spezifische Disziplin, die darauf ausgerichtet ist, die Widerstandsfähigkeit des Unternehmens gegenüber möglichen Katastrophen im Zusammenhang mit dem Einsatz neuer Technologien in Geschäftsprozessen zu verbessern. ORM und Enterprise Risk Management (ERM) müssen zusammenarbeiten, damit das Unternehmen die Entwicklung seines Risikoprofils überwachen und steuern kann. Allerdings haben Unternehmen und IT oft Schwierigkeiten, sich über das Verständnis von reellen Risiken zu einigen.

In diesem Zusammenhang muss das IT-interne Kontrollsystem (IKS-IT) als Kontrollumgebung dienen, die es der IT-Abteilung ermöglicht, operationelle Risiken und Verarbeitungsmassnahmen zu überwachen und die Entscheidungsträger bei ihren Entscheidungen zu unterstützen. Dabei ermöglicht die Übereinstimmung der IT-Organisation mit externen Anforderungen (Gesetze, Vorschriften, Industriestandards, Best Practices usw.) und internen Anforderungen (Unternehmensrichtlinien, Standards und Anweisungen) die Einrichtung eines kontinuierlichen Verbesserungsprogramms für die IT-Abteilung und vor allem für das gesamte Unternehmen.

Die Umsetzung guter Praktiken des operativen Risikomanagements und die Entwicklung eines an das Unternehmen angepassten internen IT-Kontrollsystems (IKS-IT) sollten es ermöglichen, operationelle Risiken und die Einhaltung der Vorschriften der IT-Organisation in Übereinstimmung mit den Geschäftsanforderungen zu steuern.

Schlüsselfragen für Entscheidungsträger:

  • Wie kann sichergestellt werden, dass die IT-Organisation die Geschäftsanforderungen in Bezug auf Risikomanagement und Compliance erfüllt?
  • Kann das Risikoprofil gemessen und die Leistung der Massnahmen zur Risikobehandlung überwacht werden?
  • Welche Risikoprofile stellen die IT- und Business-Services sowie das Projektportfolio dar?
  • Wie kann ich die Konformität meiner IT-Organisation mit den zahlreichen internationalen, nationalen und internen Gesetzen und Standards des Unternehmens messen und sicherstellen?
  • Hat mein Unternehmen die notwendigen Kontrollen in die Prozesse integriert, um das Risiko von Betrug oder Verlust sensibler Daten zu reduzieren?

 

Unsere Dienstleistungen im Bereich ORM & SCI-IT zielen darauf ab, einen positiven Kreislauf für die Anwendung von vorgegebenen Standards zu schaffen, um das Risikomanagement und die Compliance der IT-Organisation kontinuierlich zu verbessern:

Implementierung des Operational Risk Management (ORM) Prozesses

  • Definition des ORM-Prozesses auf der Grundlage einer an Ihr Unternehmen angepassten Standardmethodik. Beispiele: MEHARI, EBIOS, ISO 27’005
  • Integration des ORM-Prozesses mit ERM (Enterprise Risk Management, basierend auf dem COSO-Modell)
  • Definition einer tragfähigen Vorgehensweise zwischen Business und IT
  • Durchführung des ORM-Prozesses und Identifizierung von operationellen Risiken
  • Definition eines kontinuierlichen Compliance-Verbesserungsprogramms innerhalb der IT-Organisation

Verbesserung der Compliance der IT-Organisation

  • Bewertung der IT-Organisation und Identifizierung von Verbesserungspotenzialen im Hinblick auf Compliance
  • Überprüfung der aktuellen Prozesse und Identifizierung von Verbesserungspotenzialen
  • Überprüfung und Umverteilung der Verantwortlichkeiten der Interessengruppen, einschliesslich Aufgabentrennung (SoD) und Ausgleichsmassnahmen.
  • Optimierung des IT-Personalmanagements entsprechend den Rollen und Verantwortlichkeiten innerhalb des Unternehmens.

Entwicklung eines internen Kontrollsystems für die IT-Organisation (IT-IKS)

  • Erarbeitung einer Roadmap, die auf den Prioritäten des Unternehmens und den identifizierten operationellen Risiken basiert.
  • Definition von IKS-IT-Kontrollen auf der Grundlage operationeller Risiken, die sich auf das Unternehmen auswirken können.
  • Implementierung eines kontinuierlichen Verbesserungsprogramms für Risikomanagement und Compliance

Vorbereitung auf interne Audits im Zusammenhang mit Compliance und Risikomanagement

  • Führen von Compliance-Audits vom Typ ITGC (IT General Controls) oder vorbereitenden Audits zur Unterstützung interner Audits.
  • Test des Designs von Kontrollen (ToD: Test of Design)
  • Test der operativen Effektivität (ToOE: Test of Operational Effectiveness): Erstellung und Durchführung von Compliance-Testplänen

Revenue Assurance

  • Bewertung von Wertschöpfungsketten, inhärenten operationellen Risiken und Compliance-Anforderungen nach Marktsegmenten
  • Definition und Gestaltung von Revenue Assurance Kontrollen
  • Prüfung des Designs und der operativen Wirksamkeit von Kontrollen