Governance, Risk & Compliance

621 Aufrufe

Veröffentlicht am

Governance , Risk & Compliance Guideline with Corporate Application Methode (ISO 31000) - CRISAM Version 5

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
621
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
3
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Governance, Risk & Compliance

  1. 1. ITZ Informationstechnologie GmbH Seite 1 Governance Risk & Compliance (GRC) Governance, Risikomanagement und Compliance (GRC) sind derzeit brandaktuelle Themen auf der Agenda von Vorständen, Geschäftsführer und Führungskräften. Ursächlich wurzelt der Begriff der Corporate Governance in einer wertorientierten Unternehmensführung mit dem Ziel das Unternehmensergebnis und den Wert eines Unternehmens zu maximieren. Mittlerweile wird Corporate Governance wesentlich weiter gefasst und darunter die Sicherstellung einer verantwortungsvollen Unternehmensführung verstanden. Mit der Verpflichtung einen effizienten und effektiven GRC-Prozess zu betreiben wird der Obersten Leitung des Unternehmens der Auftrag „Steuern Sie das Unternehmen vorausschauend, managen Sie dessen Risiken und stellen Sie Compliance sicher!“ erteilt. Das Unternehmen vorausschauend zu steuern bedeutet, Ziele aus Eigentümervorgaben, den rechtlichen Rahmenbedingungen, dem Wettbewerbsumfeld und den Unternehmensstrategien bestmöglich in Einklang zu bringen und potentielle Gefahren, diese Ziele zu verfehlen, frühzeitig zu
  2. 2. ITZ Informationstechnologie GmbH Seite 2 erkennen und zu minimieren. Der GRC-Ansatz fasst die drei wichtigsten Prozessschritte für eine effektive und effiziente Unternehmenssteuerung zusammen: • Governance bedeutet Eigentümervorgaben und Interessen, Vorschriften und Gesetze, Marktregeln und Wettbewerbssituationen sowie Unternehmensstrategien in klare Ziele und Managementdirektiven zu bringen, im Unternehmen zu kommunizieren und kontinuierlich an neue Gegebenheiten anzupassen. • Risikomanagement hat die Aufgabe, potentielle Abweichungen und Gefährdungen von Zielvorgaben frühzeitig zu erkennen und Maßnahmen zur Korrektur oder Vermeidung einzuleiten und deren Erfolg zu messen. • Compliance bzw. Regeltreue zu den geltenden Normen, Vorschriften und Richtlinien sicherstellen bedeutet, Regelverletzungen zu erkennen, aufzuzeigen und Maßnahmen zur Vermeidung einzuleiten und zu verfolgen. Damit der Vorstand/Geschäftsführer sein Unternehmen vorausschauend steuern, Risiken managen und die Compliance sicherstellen kann, benötigt er einen leistungsfähigen Steuerstand, der ihm die nötigen Informationen und Steuermöglichkeiten gibt, Ziele erreichen sowie Unwegsamkeiten frühzeitig erkennen und auszuweichen zu können. CRISAM® GRC ist der leistungsfähige Steuerstand, der dem Entscheider umfassende Methoden und Tools zur Verfügung stellt, das Unternehmen sicher auf Kurs zu steuern.
  3. 3. ITZ Informationstechnologie GmbH Seite 3 CRISAM® Risikomanagement Methode Die CRISAM® (Corporate Risk Application Method) Risikomanagement Methode wurde vom Team der Firma calpana business consulting gmbh als Standard im Risikomanagement entwickelt. Seit 1998 wird die Methode vielfach erweitert und verbessert und hat sich im IT-Bereich weitgehend als Industriestandard durchgesetzt. CRISAM® vereint Methoden-, Wissens- und Erfahrungselemente aus dem Risikomanagement in einer einheitlichen Softwarelösung. CRISAM® gibt Ihnen damit die Sicherheit, richtige und fundierte Entscheidungen für das Wachstum und den Erfolg Ihres Unternehmens treffen zu können. CRISAM® Decision Engineering Unter Decision Engineering verstehen wir mehr als einen Risikomanagement-Prozess. Decision Engineering ist jener Prozess, der potenzielle Abweichungen erkennt, richtige Maßnahmen für die Rückführung identifiziert und deren Effizienz und Auswirkung nachvollziehbar feststellt, daraus für den Entscheider eine fundierte Entscheidungsgrundlage mit Alternativen und deren Konsequenzen liefert und getroffene Entscheidungen für Dritte nachvollziehbar und transparent gestaltet. CRISAM® ist einfach, präzise, wertorientiert und nachvollziehbar. Diese Werte bilden die Grundlage für die laufende Weiterentwicklung von CRISAM®. Einfach – weil die Bedienung sehr unkompliziert und intuitiv gestaltet ist. Präzise – weil Ihnen das hinterlegte Methodensystem die größtmögliche Genauigkeit liefert und jedes Ergebnis belastbar ist. Wertorientiert – weil Sie durch den Fokus auf quantitative Kennzahlen und Risikomaße eine wertorientierte Unternehmensführung verwirklichen können. Nachvollziehbar – weil die Ergebnisse durch entsprechende Analyse-, Reporting- oder Drilldown- Funktionen jederzeit transparent sind.
  4. 4. ITZ Informationstechnologie GmbH Seite 4 CRISAM® 5 RMIS (Risk Management Information System) CRISAM® ist ein ganzheitlicher Ansatz, der Ihnen hilft, einen Blick nach vorne zu werfen. Natürlich ist die Zukunft unsicher, denn wäre sie sicher und fände sie in einer „Excel-Zelle“ platz, so wäre sie auch schon unsere Vergangenheit! CRISAM® unterstützt Sie dabei, diese Unsicherheit der Zukunft in den Griff zu bekommen und bereits frühzeitig darauf aufmerksam zu machen. Risikomanagement ist ein Prozess, der Risiken im Unternehmen, in Projekten oder in spezifischen Geschäftsbereichen erkennen, beurteilen und steuern soll. Ein Risk Management Information System (RMIS) ist das Werkzeug, das dem Risikomanager, den Risikoverantwortlichen sowie der Geschäftsführung die Grundlagen für richtige Entscheidungen liefern muss und Konsequenzen und Auswirkungen bestmöglich und transparent prognostizieren soll. Das in CRISAM® 5 implementierte Prozessmodell folgt dem international anerkannten Standard der ISO 31000. Abbildung 1: CRISAM® RMIS System
  5. 5. ITZ Informationstechnologie GmbH Seite 5 In der Abbildung 1 ist die Struktur der CRISAM® 5 Funktionen und Methoden dargestellt. Das Fundament bilden der CRISAM® Enterprise Server, der CRISAM® Explorer und der CRISAM® Web- Access. Die CRISAM® Workflow-Engine steuert den Informations- und Aufgabenaustausch mit am Risikomanagement Prozess beteiligten Risiko-, Maßnahmen-, Aufgaben- und Kontrollverantwortlichen. CRISAM® unterstützt den Risikomanagement Prozess sowohl mit in der Plattform integrierten Basisfunktionen, als auch mit zwei anpassbaren Risikoaggregationsmethoden, Management- Domains, Content Libraries und bereitgestellten Mappings zu relevanten Compliance-Referenzen. Content Libraries werden aus Gründen der technologischen und Compliance-bedingten Veränderungen zyklisch aktualisiert und im Rahmen eines Abonnements bereitgestellt. CRISAM® 5 stellt in seiner Basisplattform die integralen Services und Methoden zur Verfügung, die in allen Risikomanagement Disziplinen zur Verfügung stehen. Ausgehend von dem aus der ISO 31000 abgeleiteten Prozessmodell wird dem Risikomanager eine leistungsfähige Applikation, der CRISAM® Explorer, bereitgestellt. Der CRISAM® Enterprise Server ist der zentrale Knotenpunkt jeder Installation. Entsprechend dem Rechtemanagement arbeiten ein oder mehrere Risikomanager in ihrer Management Disziplin, um unternehmensweite Risiken, IT- oder Projektrisiken zu bearbeiten. Risiken werden direkt oder remote per Web-Unterstützung von Risikoverantwortlichen erfasst. Erforderliche Maßnahmen werden identifiziert, bewertet, beauftragt und deren Umsetzung verfolgt. Die CRISAM® Workflow-Extension steuert den Informationsaustausch zentral und dezentral verteilter Aufgaben. Die Berichterstattung an die Geschäftsführung oder weitere Berichtsadressaten erfolgt durch das integrierte Berichtswesen oder das online verfügbaren Dashboard.
  6. 6. ITZ Informationstechnologie GmbH Seite 6 CRISAM® Process Model CRISAM® basiert auf einem 6-stufigen Prozessmodell, welches durch einen TOP-DOWN und BOTTOM-UP Ansatz eine gesamtheitliche Betrachtung von Strategie, Organisation, Prozess und auch Infrastruktur ermöglicht. Abbildung 2: CRISAM® Prozessmodell Abbildung 2 zeigt das CRISAM® Prozessmodell, anhand dessen der unternehmensweite Risikomanagement Prozess implementiert wird. Das Modell ist aus der ISO 31000 abgeleitet und basiert auf dem „PLAN-DO-CHECK-ACT“ (PDCA) Deming-Prozess. Abhängig von der gewählten Aggregations-Methode werden in den einzelnen Prozessschritten unterschiedliche Risikomodelle (Fehlerbaum bzw. Geschäftslogik) aufgebaut und spezifische Analysemethoden zur Bewertung der Risiken angewandt. Das in CRISAM® zugrunde gelegte Prozessmodell sieht zwei Rückkoppelungen vor. Damit wird im Risikomanagement Prozess eine kontinuierliche Verbesserung durch den zyklischen Durchlauf der einzelnen Prozessschritte sichergestellt.
  7. 7. ITZ Informationstechnologie GmbH Seite 7 CRISAM® Explorer Risikomanager fordern in ihrer Risikomanagement Disziplin bestmöglich unterstützt zu werden. Dabei sind die Aufgaben und auch die erforderlichen Werkzeuge zum Managen unternehmens - weiter, finanzwirtschaftlicher Risiken, IT-Risiken, Projektrisiken etc. durchaus unterschiedlich. Der CRISAM® Explorer vereint alle erforderlichen Methoden und Werkzeuge und stellt sie themenbezogen dem Benutzer zur Verfügung. Das bekannte Look & Feel von Microsoft Outlook trägt dazu bei, dass eine Benutzerschulung ausschließlich auf technische bzw. methodische Aspekte reduziert werden kann. Mit den aus Microsoft Office Produkten bekannten Menübändern finden Sie die gewünschten Funktionen immer an der richtigen Stelle. Abbildung 3: Ausschnitt aus der CRISAM® Explorer Benutzerführung Abbildung 3 zeigt einen Ausschnitt der bereitgestellten Werkzeuge. Der Werkzeugkasten ist analog dem bekannten Benutzerdialog aus der Microsoft-Office Welt aufgebaut, sodass nach nur kurzer Lernphase die Leistungsfähigkeit von CRISAM® 5 ausgeschöpft werden kann.
  8. 8. ITZ Informationstechnologie GmbH Seite 8 CRISAM® Enterprise Server und Web-Access Der CRISAM® Enterprise Server ist das Zentrum der Zusammenarbeit im Risikomanagement Prozess. Abbildung 4 zeigt eine typische Implementierung eines Risk Management Information System basierend auf CRISAM® 5. Der Enterprise Server übernimmt dabei neben den Server- und Datenbank- Funktionalitäten Kollaboration-Aufgaben zwischen zentralen und dezentralen Beteiligten im Risikomanagement Prozess. Über Standard-Schnittstellen fügt sich der Enterprise Server in die Kommunikations- und Informationsinfrastruktur Ihres Unternehmens nahtlos ein. Sowohl Aufgaben, als auch Erinnerungen werden den dezentralen Beauftragten in ihrer vertrauten Email-Umgebung übermittelt. Die Erfüllung und Umsetzung ihrer Aufgaben wird durch die einfach und intuitiv bedienbare Web-Oberfläche ermöglicht. Abbildung 4: Implementierung eines CRISAM® RMIS Systems
  9. 9. ITZ Informationstechnologie GmbH Seite 9 Dezentrale Risikomanagement Prozess Beteiligte sind im Fachbereich angesiedelt. Ihr Daily Business ist somit nicht primär der Umgang mit Risikomanagement Werkzeugen. Aus diesem Grund stellt CRISAM® 5 eine zielgruppenorientierte, webbasierte und einfach bedienbare Benutzeroberfläche zur Verfügung. Der Benutzer wird über einfach gestellte Fragen durch den gesamten Dialog geführt. Diese gezielten Fragen werden mittels nachvollziehbarer statistischer Interpretationen in eine vom Risikomanager geforderte Form konvertiert. Abbildung 5: CRISAM® Web-Interface
  10. 10. ITZ Informationstechnologie GmbH Seite 10 Reports & Dashboard CRISAM® stellt Informationen, Ergebnisse und den Status sowohl in Berichten, als auch im Dashboard zur Verfügung. Reports werden in vorgefertigten Standardberichten (prozessrelevante Berichte, Management Berichte und Compliance Berichte) zur Verfügung gestellt, die vom Kunden mit dem Report-Designer auf kundenspezifische Anforderungen angepasst werden können. Aus einer Auswahl von über 60 vorbereiteten KPIs werden dem Management alle relevanten Informationen in Form eines Dashboards übersichtlich zur Verfügung gestellt. Ab der Version CRISAM®5 stehen den berechtigten Benutzern sowohl das Dashboard als auch die Berichte unternehmensweit auch auf mobilen Endgeräten zur Verfügung. Abbildung 6: CRISAM® Dashboard
  11. 11. ITZ Informationstechnologie GmbH Seite 11 CRISAM Compliance References Compliance Referenzen sind Normen, Vorschriften und Best Practices. Unternehmen orientieren sich aus freiwilliger Bindung an diesen, sind dazu verpflichtet oder werden von autorisierter Stelle gegen diese geprüft. Sehr oft ist es mehr als lediglich eine Compliance Referenz gegenüber der die Konformität nachgewiesen werden muss. Beispielsweise wird die IT an der ISO 27001, ISO 20000, COBIT, SOX, geltenden Gesetzen und dem Datenschutz gemessen, auditiert und geprüft. In spezifischen Branchen werden zusätzlich ergänzende Prüfungsrahmen erforderlich. Um diese Compliance-Nachweise aktuell und mit vertretbarem Aufwand durchführen zu können, leitet CRISAM® die Konformitätsnachweise aus den zugrunde gelegten Content Libraries ab. Diese Vorgehensweise besitzt den wesentlichen Vorteil, dass keine spezifischen Kontrollfragen für bestimmte Compliance Referenzen zusätzlich beantwortet werden müssen. CRISAM® leitet die Konformität zu den jeweiligen Vorgaben aus den in der Content Library mitgelieferte Mappings zu den unterstützten Compliance Referenzen automatisiert ab und stellt den Grad der Compliance in Berichten und den KPIs im Dashboard dar. In CRISAM® Out-Of-The-Box unterstützte Compliance Referenzen sind aktuell: ISO 27002; ISO 27019; ISO 20000; ISO 80001-1; ISO 9001; ISO 15224; EN 50600; BSI Grundschutz; ISAE 3402; Euro Cloud; COBIT; COSO; SOX; BDEW; BSI 100-2; BSI 100-4; PCI-DSS Mit der Aktualisierung der Content Libraries, spezifischen Kundenanforderungen und dem Erscheinen neuer Standards wird die Unterstützung kontinuierlich aktualisiert und erweitert.
  12. 12. ITZ Informationstechnologie GmbH Seite 12 IT Grundschutz (BSI) In der heutigen Zeit sind viele Institutionen in Wirtschaft und Verwaltung vom einwandfreien Funktionieren der IT abhängig. Durch diese steigende Abhängigkeit und der wachsenden Bedrohungspotenziale, gewinnt die Informationssicherheit einen immer größeren Stellenwert. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT- Grundschutz eine Kombination aus einer Methodik für Sicherheitsmanagement mit konkreten Maßnahmen-Empfehlungen. Diese Empfehlungen decken nicht nur technische, sondern auch organisatorische, personelle und bauliche Aspekte ab. Generell bietet der BSI IT-Grundschutz eine anerkannte Vorgehensweise zur Entwicklung und Überprüfung von Sicherheitskonzepten. Er enthält darüber hinaus Empfehlungen für Maßnahmen, mit denen ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau erreicht werden kann. Um diese Maßnahmen-Empfehlungen auf die jeweilige Organisation abzustimmen, werden sogenannte Bausteine verwendet, um den Aufbau des Unternehmens abzubilden. Diese Bausteine enthalten mögliche Gefährdungen, die auf das Objekt wirken können, und Maßnahmen um diesen entgegenzuwirken.
  13. 13. ITZ Informationstechnologie GmbH Seite 13 Das BSI GSTOOL dient der Erstellung solcher Sicherheitskonzepte und ist insbesondere in Deutschland weit verbreitet. Neben dem offiziellen GSTOOL bietet aber auch CRISAM die Möglichkeit, IT-Grundschutz im Unternehmen zu etablieren, da der Aufbau von CRISAM dem Bausteinprinzip des IT-Grundschutzes ähnelt. Aufgrund dessen ist CRISAM mittlerweile auch auf der BSI-Webseite als offizielle Alternative zum GSTOOL gelistet. Der CRISAM Explorer bietet alle nötigen Bausteine um die Grundschutz-Thematik zur Gänze abzubilden und bietet außerdem zahlreiche Möglichkeiten, für ein weiterführendes Risikomanagement wie z.B. eine monetäre Bewertung. Das Modellieren der Risikoobjekte erfolgt in einem Fehlerbaum, der gesamte IT-Risiko-Management- Prozess ist abbildbar. Ein weiterer großer Vorteil sind die anpassbaren und aussagekräftigen Reportmöglichkeiten von CRISAM. Weiterführende Informationen erhalten Sie auf Anfrage: ITZ Informationstechnologie z.Hd. Herrn Uwe Rydzek Heinrich-Held-Str. 16 45133 Essen Tel.: 0201-24714-93 Mail: uwe.rydzek@itz-essen.de

×