SlideShare ist ein Scribd-Unternehmen logo

Governance, Risk & Compliance

Uwe Rydzek
Uwe Rydzek

Governance , Risk & Compliance Guideline with Corporate Application Methode (ISO 31000) - CRISAM Version 5

Technologie
1 von 13
Downloaden Sie, um offline zu lesen
ITZ Informationstechnologie GmbH Seite 1 Governance Risk & Compliance (GRC) Governance, Risikomanagement und Compliance (GRC) sind derzeit brandaktuelle Themen auf der Agenda von Vorständen, Geschäftsführer und Führungskräften. Ursächlich wurzelt der Begriff der Corporate Governance in einer wertorientierten Unternehmensführung mit dem Ziel das Unternehmensergebnis und den Wert eines Unternehmens zu maximieren. Mittlerweile wird Corporate Governance wesentlich weiter gefasst und darunter die Sicherstellung einer verantwortungsvollen Unternehmensführung verstanden. Mit der Verpflichtung einen effizienten und effektiven GRC-Prozess zu betreiben wird der Obersten Leitung des Unternehmens der Auftrag „Steuern Sie das Unternehmen vorausschauend, managen Sie dessen Risiken und stellen Sie Compliance sicher!“ erteilt. Das Unternehmen vorausschauend zu steuern bedeutet, Ziele aus Eigentümervorgaben, den rechtlichen Rahmenbedingungen, dem Wettbewerbsumfeld und den Unternehmensstrategien bestmöglich in Einklang zu bringen und potentielle Gefahren, diese Ziele zu verfehlen, frühzeitig zu
ITZ Informationstechnologie GmbH Seite 2 erkennen und zu minimieren. Der GRC-Ansatz fasst die drei wichtigsten Prozessschritte für eine effektive und effiziente Unternehmenssteuerung zusammen: • Governance bedeutet Eigentümervorgaben und Interessen, Vorschriften und Gesetze, Marktregeln und Wettbewerbssituationen sowie Unternehmensstrategien in klare Ziele und Managementdirektiven zu bringen, im Unternehmen zu kommunizieren und kontinuierlich an neue Gegebenheiten anzupassen. • Risikomanagement hat die Aufgabe, potentielle Abweichungen und Gefährdungen von Zielvorgaben frühzeitig zu erkennen und Maßnahmen zur Korrektur oder Vermeidung einzuleiten und deren Erfolg zu messen. • Compliance bzw. Regeltreue zu den geltenden Normen, Vorschriften und Richtlinien sicherstellen bedeutet, Regelverletzungen zu erkennen, aufzuzeigen und Maßnahmen zur Vermeidung einzuleiten und zu verfolgen. Damit der Vorstand/Geschäftsführer sein Unternehmen vorausschauend steuern, Risiken managen und die Compliance sicherstellen kann, benötigt er einen leistungsfähigen Steuerstand, der ihm die nötigen Informationen und Steuermöglichkeiten gibt, Ziele erreichen sowie Unwegsamkeiten frühzeitig erkennen und auszuweichen zu können. CRISAM® GRC ist der leistungsfähige Steuerstand, der dem Entscheider umfassende Methoden und Tools zur Verfügung stellt, das Unternehmen sicher auf Kurs zu steuern.
ITZ Informationstechnologie GmbH Seite 3 CRISAM® Risikomanagement Methode Die CRISAM® (Corporate Risk Application Method) Risikomanagement Methode wurde vom Team der Firma calpana business consulting gmbh als Standard im Risikomanagement entwickelt. Seit 1998 wird die Methode vielfach erweitert und verbessert und hat sich im IT-Bereich weitgehend als Industriestandard durchgesetzt. CRISAM® vereint Methoden-, Wissens- und Erfahrungselemente aus dem Risikomanagement in einer einheitlichen Softwarelösung. CRISAM® gibt Ihnen damit die Sicherheit, richtige und fundierte Entscheidungen für das Wachstum und den Erfolg Ihres Unternehmens treffen zu können. CRISAM® Decision Engineering Unter Decision Engineering verstehen wir mehr als einen Risikomanagement-Prozess. Decision Engineering ist jener Prozess, der potenzielle Abweichungen erkennt, richtige Maßnahmen für die Rückführung identifiziert und deren Effizienz und Auswirkung nachvollziehbar feststellt, daraus für den Entscheider eine fundierte Entscheidungsgrundlage mit Alternativen und deren Konsequenzen liefert und getroffene Entscheidungen für Dritte nachvollziehbar und transparent gestaltet. CRISAM® ist einfach, präzise, wertorientiert und nachvollziehbar. Diese Werte bilden die Grundlage für die laufende Weiterentwicklung von CRISAM®. Einfach – weil die Bedienung sehr unkompliziert und intuitiv gestaltet ist. Präzise – weil Ihnen das hinterlegte Methodensystem die größtmögliche Genauigkeit liefert und jedes Ergebnis belastbar ist. Wertorientiert – weil Sie durch den Fokus auf quantitative Kennzahlen und Risikomaße eine wertorientierte Unternehmensführung verwirklichen können. Nachvollziehbar – weil die Ergebnisse durch entsprechende Analyse-, Reporting- oder Drilldown- Funktionen jederzeit transparent sind.
ITZ Informationstechnologie GmbH Seite 4 CRISAM® 5 RMIS (Risk Management Information System) CRISAM® ist ein ganzheitlicher Ansatz, der Ihnen hilft, einen Blick nach vorne zu werfen. Natürlich ist die Zukunft unsicher, denn wäre sie sicher und fände sie in einer „Excel-Zelle“ platz, so wäre sie auch schon unsere Vergangenheit! CRISAM® unterstützt Sie dabei, diese Unsicherheit der Zukunft in den Griff zu bekommen und bereits frühzeitig darauf aufmerksam zu machen. Risikomanagement ist ein Prozess, der Risiken im Unternehmen, in Projekten oder in spezifischen Geschäftsbereichen erkennen, beurteilen und steuern soll. Ein Risk Management Information System (RMIS) ist das Werkzeug, das dem Risikomanager, den Risikoverantwortlichen sowie der Geschäftsführung die Grundlagen für richtige Entscheidungen liefern muss und Konsequenzen und Auswirkungen bestmöglich und transparent prognostizieren soll. Das in CRISAM® 5 implementierte Prozessmodell folgt dem international anerkannten Standard der ISO 31000. Abbildung 1: CRISAM® RMIS System
ITZ Informationstechnologie GmbH Seite 5 In der Abbildung 1 ist die Struktur der CRISAM® 5 Funktionen und Methoden dargestellt. Das Fundament bilden der CRISAM® Enterprise Server, der CRISAM® Explorer und der CRISAM® Web- Access. Die CRISAM® Workflow-Engine steuert den Informations- und Aufgabenaustausch mit am Risikomanagement Prozess beteiligten Risiko-, Maßnahmen-, Aufgaben- und Kontrollverantwortlichen. CRISAM® unterstützt den Risikomanagement Prozess sowohl mit in der Plattform integrierten Basisfunktionen, als auch mit zwei anpassbaren Risikoaggregationsmethoden, Management- Domains, Content Libraries und bereitgestellten Mappings zu relevanten Compliance-Referenzen. Content Libraries werden aus Gründen der technologischen und Compliance-bedingten Veränderungen zyklisch aktualisiert und im Rahmen eines Abonnements bereitgestellt. CRISAM® 5 stellt in seiner Basisplattform die integralen Services und Methoden zur Verfügung, die in allen Risikomanagement Disziplinen zur Verfügung stehen. Ausgehend von dem aus der ISO 31000 abgeleiteten Prozessmodell wird dem Risikomanager eine leistungsfähige Applikation, der CRISAM® Explorer, bereitgestellt. Der CRISAM® Enterprise Server ist der zentrale Knotenpunkt jeder Installation. Entsprechend dem Rechtemanagement arbeiten ein oder mehrere Risikomanager in ihrer Management Disziplin, um unternehmensweite Risiken, IT- oder Projektrisiken zu bearbeiten. Risiken werden direkt oder remote per Web-Unterstützung von Risikoverantwortlichen erfasst. Erforderliche Maßnahmen werden identifiziert, bewertet, beauftragt und deren Umsetzung verfolgt. Die CRISAM® Workflow-Extension steuert den Informationsaustausch zentral und dezentral verteilter Aufgaben. Die Berichterstattung an die Geschäftsführung oder weitere Berichtsadressaten erfolgt durch das integrierte Berichtswesen oder das online verfügbaren Dashboard.
ITZ Informationstechnologie GmbH Seite 6 CRISAM® Process Model CRISAM® basiert auf einem 6-stufigen Prozessmodell, welches durch einen TOP-DOWN und BOTTOM-UP Ansatz eine gesamtheitliche Betrachtung von Strategie, Organisation, Prozess und auch Infrastruktur ermöglicht. Abbildung 2: CRISAM® Prozessmodell Abbildung 2 zeigt das CRISAM® Prozessmodell, anhand dessen der unternehmensweite Risikomanagement Prozess implementiert wird. Das Modell ist aus der ISO 31000 abgeleitet und basiert auf dem „PLAN-DO-CHECK-ACT“ (PDCA) Deming-Prozess. Abhängig von der gewählten Aggregations-Methode werden in den einzelnen Prozessschritten unterschiedliche Risikomodelle (Fehlerbaum bzw. Geschäftslogik) aufgebaut und spezifische Analysemethoden zur Bewertung der Risiken angewandt. Das in CRISAM® zugrunde gelegte Prozessmodell sieht zwei Rückkoppelungen vor. Damit wird im Risikomanagement Prozess eine kontinuierliche Verbesserung durch den zyklischen Durchlauf der einzelnen Prozessschritte sichergestellt.
ITZ Informationstechnologie GmbH Seite 7 CRISAM® Explorer Risikomanager fordern in ihrer Risikomanagement Disziplin bestmöglich unterstützt zu werden. Dabei sind die Aufgaben und auch die erforderlichen Werkzeuge zum Managen unternehmens - weiter, finanzwirtschaftlicher Risiken, IT-Risiken, Projektrisiken etc. durchaus unterschiedlich. Der CRISAM® Explorer vereint alle erforderlichen Methoden und Werkzeuge und stellt sie themenbezogen dem Benutzer zur Verfügung. Das bekannte Look & Feel von Microsoft Outlook trägt dazu bei, dass eine Benutzerschulung ausschließlich auf technische bzw. methodische Aspekte reduziert werden kann. Mit den aus Microsoft Office Produkten bekannten Menübändern finden Sie die gewünschten Funktionen immer an der richtigen Stelle. Abbildung 3: Ausschnitt aus der CRISAM® Explorer Benutzerführung Abbildung 3 zeigt einen Ausschnitt der bereitgestellten Werkzeuge. Der Werkzeugkasten ist analog dem bekannten Benutzerdialog aus der Microsoft-Office Welt aufgebaut, sodass nach nur kurzer Lernphase die Leistungsfähigkeit von CRISAM® 5 ausgeschöpft werden kann.
ITZ Informationstechnologie GmbH Seite 8 CRISAM® Enterprise Server und Web-Access Der CRISAM® Enterprise Server ist das Zentrum der Zusammenarbeit im Risikomanagement Prozess. Abbildung 4 zeigt eine typische Implementierung eines Risk Management Information System basierend auf CRISAM® 5. Der Enterprise Server übernimmt dabei neben den Server- und Datenbank- Funktionalitäten Kollaboration-Aufgaben zwischen zentralen und dezentralen Beteiligten im Risikomanagement Prozess. Über Standard-Schnittstellen fügt sich der Enterprise Server in die Kommunikations- und Informationsinfrastruktur Ihres Unternehmens nahtlos ein. Sowohl Aufgaben, als auch Erinnerungen werden den dezentralen Beauftragten in ihrer vertrauten Email-Umgebung übermittelt. Die Erfüllung und Umsetzung ihrer Aufgaben wird durch die einfach und intuitiv bedienbare Web-Oberfläche ermöglicht. Abbildung 4: Implementierung eines CRISAM® RMIS Systems
ITZ Informationstechnologie GmbH Seite 9 Dezentrale Risikomanagement Prozess Beteiligte sind im Fachbereich angesiedelt. Ihr Daily Business ist somit nicht primär der Umgang mit Risikomanagement Werkzeugen. Aus diesem Grund stellt CRISAM® 5 eine zielgruppenorientierte, webbasierte und einfach bedienbare Benutzeroberfläche zur Verfügung. Der Benutzer wird über einfach gestellte Fragen durch den gesamten Dialog geführt. Diese gezielten Fragen werden mittels nachvollziehbarer statistischer Interpretationen in eine vom Risikomanager geforderte Form konvertiert. Abbildung 5: CRISAM® Web-Interface
ITZ Informationstechnologie GmbH Seite 10 Reports & Dashboard CRISAM® stellt Informationen, Ergebnisse und den Status sowohl in Berichten, als auch im Dashboard zur Verfügung. Reports werden in vorgefertigten Standardberichten (prozessrelevante Berichte, Management Berichte und Compliance Berichte) zur Verfügung gestellt, die vom Kunden mit dem Report-Designer auf kundenspezifische Anforderungen angepasst werden können. Aus einer Auswahl von über 60 vorbereiteten KPIs werden dem Management alle relevanten Informationen in Form eines Dashboards übersichtlich zur Verfügung gestellt. Ab der Version CRISAM®5 stehen den berechtigten Benutzern sowohl das Dashboard als auch die Berichte unternehmensweit auch auf mobilen Endgeräten zur Verfügung. Abbildung 6: CRISAM® Dashboard
ITZ Informationstechnologie GmbH Seite 11 CRISAM Compliance References Compliance Referenzen sind Normen, Vorschriften und Best Practices. Unternehmen orientieren sich aus freiwilliger Bindung an diesen, sind dazu verpflichtet oder werden von autorisierter Stelle gegen diese geprüft. Sehr oft ist es mehr als lediglich eine Compliance Referenz gegenüber der die Konformität nachgewiesen werden muss. Beispielsweise wird die IT an der ISO 27001, ISO 20000, COBIT, SOX, geltenden Gesetzen und dem Datenschutz gemessen, auditiert und geprüft. In spezifischen Branchen werden zusätzlich ergänzende Prüfungsrahmen erforderlich. Um diese Compliance-Nachweise aktuell und mit vertretbarem Aufwand durchführen zu können, leitet CRISAM® die Konformitätsnachweise aus den zugrunde gelegten Content Libraries ab. Diese Vorgehensweise besitzt den wesentlichen Vorteil, dass keine spezifischen Kontrollfragen für bestimmte Compliance Referenzen zusätzlich beantwortet werden müssen. CRISAM® leitet die Konformität zu den jeweiligen Vorgaben aus den in der Content Library mitgelieferte Mappings zu den unterstützten Compliance Referenzen automatisiert ab und stellt den Grad der Compliance in Berichten und den KPIs im Dashboard dar. In CRISAM® Out-Of-The-Box unterstützte Compliance Referenzen sind aktuell: ISO 27002; ISO 27019; ISO 20000; ISO 80001-1; ISO 9001; ISO 15224; EN 50600; BSI Grundschutz; ISAE 3402; Euro Cloud; COBIT; COSO; SOX; BDEW; BSI 100-2; BSI 100-4; PCI-DSS Mit der Aktualisierung der Content Libraries, spezifischen Kundenanforderungen und dem Erscheinen neuer Standards wird die Unterstützung kontinuierlich aktualisiert und erweitert.
ITZ Informationstechnologie GmbH Seite 12 IT Grundschutz (BSI) In der heutigen Zeit sind viele Institutionen in Wirtschaft und Verwaltung vom einwandfreien Funktionieren der IT abhängig. Durch diese steigende Abhängigkeit und der wachsenden Bedrohungspotenziale, gewinnt die Informationssicherheit einen immer größeren Stellenwert. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT- Grundschutz eine Kombination aus einer Methodik für Sicherheitsmanagement mit konkreten Maßnahmen-Empfehlungen. Diese Empfehlungen decken nicht nur technische, sondern auch organisatorische, personelle und bauliche Aspekte ab. Generell bietet der BSI IT-Grundschutz eine anerkannte Vorgehensweise zur Entwicklung und Überprüfung von Sicherheitskonzepten. Er enthält darüber hinaus Empfehlungen für Maßnahmen, mit denen ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau erreicht werden kann. Um diese Maßnahmen-Empfehlungen auf die jeweilige Organisation abzustimmen, werden sogenannte Bausteine verwendet, um den Aufbau des Unternehmens abzubilden. Diese Bausteine enthalten mögliche Gefährdungen, die auf das Objekt wirken können, und Maßnahmen um diesen entgegenzuwirken.
ITZ Informationstechnologie GmbH Seite 13 Das BSI GSTOOL dient der Erstellung solcher Sicherheitskonzepte und ist insbesondere in Deutschland weit verbreitet. Neben dem offiziellen GSTOOL bietet aber auch CRISAM die Möglichkeit, IT-Grundschutz im Unternehmen zu etablieren, da der Aufbau von CRISAM dem Bausteinprinzip des IT-Grundschutzes ähnelt. Aufgrund dessen ist CRISAM mittlerweile auch auf der BSI-Webseite als offizielle Alternative zum GSTOOL gelistet. Der CRISAM Explorer bietet alle nötigen Bausteine um die Grundschutz-Thematik zur Gänze abzubilden und bietet außerdem zahlreiche Möglichkeiten, für ein weiterführendes Risikomanagement wie z.B. eine monetäre Bewertung. Das Modellieren der Risikoobjekte erfolgt in einem Fehlerbaum, der gesamte IT-Risiko-Management- Prozess ist abbildbar. Ein weiterer großer Vorteil sind die anpassbaren und aussagekräftigen Reportmöglichkeiten von CRISAM. Weiterführende Informationen erhalten Sie auf Anfrage: ITZ Informationstechnologie z.Hd. Herrn Uwe Rydzek Heinrich-Held-Str. 16 45133 Essen Tel.: 0201-24714-93 Mail: uwe.rydzek@itz-essen.de

Empfohlen

[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & CompliancePROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...Axel Oppermann
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtIris Maaß
 
Information Security Management (ISMS) with QSEC
Information Security Management (ISMS) with QSECInformation Security Management (ISMS) with QSEC
Information Security Management (ISMS) with QSECWMC GmbH
 
Güte in Aktion - Do Good
Güte in Aktion - Do GoodGüte in Aktion - Do Good
Güte in Aktion - Do GoodFreekidstories
 
Social Media Atlas 2012
Social Media Atlas 2012Social Media Atlas 2012
Social Media Atlas 2012Faktenkontor
 
CV GERMAN
CV GERMANCV GERMAN
CV GERMANFernando Gomez-Sanchez V.
 
Netwars-Kampagne Sales Marketing - national und international
Netwars-Kampagne Sales Marketing - national und international Netwars-Kampagne Sales Marketing - national und international
Netwars-Kampagne Sales Marketing - national und international Virenschleuder-Preis
 

Empfohlen

[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & CompliancePROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...Axel Oppermann
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtIris Maaß
 
Information Security Management (ISMS) with QSEC
Information Security Management (ISMS) with QSECInformation Security Management (ISMS) with QSEC
Information Security Management (ISMS) with QSECWMC GmbH
 
Güte in Aktion - Do Good
Güte in Aktion - Do GoodGüte in Aktion - Do Good
Güte in Aktion - Do GoodFreekidstories
 
Social Media Atlas 2012
Social Media Atlas 2012Social Media Atlas 2012
Social Media Atlas 2012Faktenkontor
 
CV GERMAN
CV GERMANCV GERMAN
CV GERMANFernando Gomez-Sanchez V.
 
Netwars-Kampagne Sales Marketing - national und international
Netwars-Kampagne Sales Marketing - national und international Netwars-Kampagne Sales Marketing - national und international
Netwars-Kampagne Sales Marketing - national und international Virenschleuder-Preis
 
JVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeJVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeyohanbeschi
 
Mobile Payment - Hype or Reality?
Mobile Payment - Hype or Reality?Mobile Payment - Hype or Reality?
Mobile Payment - Hype or Reality?Ciklum Ukraine
 
INFORMATI - Gestione emergenze
INFORMATI - Gestione emergenze INFORMATI - Gestione emergenze
INFORMATI - Gestione emergenze Progetto Albatros
 
CONFIDENCE post
CONFIDENCE postCONFIDENCE post
CONFIDENCE postConfidenceCenter
 
FMK 2013 Entwickler Werkzeuge, Marcel Moré
FMK 2013 Entwickler Werkzeuge, Marcel MoréFMK 2013 Entwickler Werkzeuge, Marcel Moré
FMK 2013 Entwickler Werkzeuge, Marcel MoréVerein FM Konferenz
 
FMK 2013, FileMaker Server, Michael Valentin
FMK 2013, FileMaker Server, Michael ValentinFMK 2013, FileMaker Server, Michael Valentin
FMK 2013, FileMaker Server, Michael ValentinVerein FM Konferenz
 
23 Pulpit Lane Martinsburg WV 25403
23 Pulpit Lane Martinsburg WV 2540323 Pulpit Lane Martinsburg WV 25403
23 Pulpit Lane Martinsburg WV 25403Heather Harley
 
Daftar harga barang
Daftar harga barangDaftar harga barang
Daftar harga barangAditya Eka
 
Scala und Lift
Scala und LiftScala und Lift
Scala und Liftadesso AG
 
Erik
ErikErik
ErikErik Crisostomo
 
Bez tytułu 1
Bez tytułu 1Bez tytułu 1
Bez tytułu 1koniara_6
 
Präsentation winterbilder
Präsentation winterbilderPräsentation winterbilder
Präsentation winterbilderDaniel Kamm
 
Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5adesso AG
 
Relationship chart gordon henry kraft:guelph herzog bavaria von altdorf
Relationship chart gordon henry kraft:guelph herzog bavaria von altdorfRelationship chart gordon henry kraft:guelph herzog bavaria von altdorf
Relationship chart gordon henry kraft:guelph herzog bavaria von altdorfGordon Kraft
 
AMSYS - Anwendbare Management Systeme
AMSYS - Anwendbare Management SystemeAMSYS - Anwendbare Management Systeme
AMSYS - Anwendbare Management SystemeBjoern Bartels
 
Software Asset Management Strategies 2014
Software Asset Management Strategies 2014Software Asset Management Strategies 2014
Software Asset Management Strategies 2014Maria Willamowius
 
Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.
Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.
Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.GBTEC Software AG
 
Optimizer+ GiS Asset Performance Management
Optimizer+ GiS Asset Performance ManagementOptimizer+ GiS Asset Performance Management
Optimizer+ GiS Asset Performance ManagementRODIAS GmbH
 
2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)
2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)
2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)aOS Community
 
Risiko-Analyse bringt Klarheit
Risiko-Analyse bringt KlarheitRisiko-Analyse bringt Klarheit
Risiko-Analyse bringt KlarheitWM-Pool Pressedienst
 
Softwarewerkzeuge Portfoliomanagement Vortrag TU Darmstadt
Softwarewerkzeuge Portfoliomanagement Vortrag TU DarmstadtSoftwarewerkzeuge Portfoliomanagement Vortrag TU Darmstadt
Softwarewerkzeuge Portfoliomanagement Vortrag TU DarmstadtAndreas Borchert
 
Produkt Produkt Manager
Produkt Produkt ManagerProdukt Produkt Manager
Produkt Produkt ManagerOliver Belikan
 

Weitere ähnliche Inhalte

Andere mochten auch

JVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeJVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeyohanbeschi
 
Mobile Payment - Hype or Reality?
Mobile Payment - Hype or Reality?Mobile Payment - Hype or Reality?
Mobile Payment - Hype or Reality?Ciklum Ukraine
 
INFORMATI - Gestione emergenze
INFORMATI - Gestione emergenze INFORMATI - Gestione emergenze
INFORMATI - Gestione emergenze Progetto Albatros
 
FMK 2013 Entwickler Werkzeuge, Marcel Moré
FMK 2013 Entwickler Werkzeuge, Marcel MoréFMK 2013 Entwickler Werkzeuge, Marcel Moré
FMK 2013 Entwickler Werkzeuge, Marcel MoréVerein FM Konferenz
 
FMK 2013, FileMaker Server, Michael Valentin
FMK 2013, FileMaker Server, Michael ValentinFMK 2013, FileMaker Server, Michael Valentin
FMK 2013, FileMaker Server, Michael ValentinVerein FM Konferenz
 
23 Pulpit Lane Martinsburg WV 25403
23 Pulpit Lane Martinsburg WV 2540323 Pulpit Lane Martinsburg WV 25403
23 Pulpit Lane Martinsburg WV 25403Heather Harley
 
Daftar harga barang
Daftar harga barangDaftar harga barang
Daftar harga barangAditya Eka
 
Scala und Lift
Scala und LiftScala und Lift
Scala und Liftadesso AG
 
Bez tytułu 1
Bez tytułu 1Bez tytułu 1
Bez tytułu 1koniara_6
 
Präsentation winterbilder
Präsentation winterbilderPräsentation winterbilder
Präsentation winterbilderDaniel Kamm
 
Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5adesso AG
 
Relationship chart gordon henry kraft:guelph herzog bavaria von altdorf
Relationship chart gordon henry kraft:guelph herzog bavaria von altdorfRelationship chart gordon henry kraft:guelph herzog bavaria von altdorf
Relationship chart gordon henry kraft:guelph herzog bavaria von altdorfGordon Kraft
 

Andere mochten auch (14)

JVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeJVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecode
 
Mobile Payment - Hype or Reality?
Mobile Payment - Hype or Reality?Mobile Payment - Hype or Reality?
Mobile Payment - Hype or Reality?
 
INFORMATI - Gestione emergenze
INFORMATI - Gestione emergenze INFORMATI - Gestione emergenze
INFORMATI - Gestione emergenze
 
CONFIDENCE post
CONFIDENCE postCONFIDENCE post
CONFIDENCE post
 
FMK 2013 Entwickler Werkzeuge, Marcel Moré
FMK 2013 Entwickler Werkzeuge, Marcel MoréFMK 2013 Entwickler Werkzeuge, Marcel Moré
FMK 2013 Entwickler Werkzeuge, Marcel Moré
 
FMK 2013, FileMaker Server, Michael Valentin
FMK 2013, FileMaker Server, Michael ValentinFMK 2013, FileMaker Server, Michael Valentin
FMK 2013, FileMaker Server, Michael Valentin
 
23 Pulpit Lane Martinsburg WV 25403
23 Pulpit Lane Martinsburg WV 2540323 Pulpit Lane Martinsburg WV 25403
23 Pulpit Lane Martinsburg WV 25403
 
Daftar harga barang
Daftar harga barangDaftar harga barang
Daftar harga barang
 
Scala und Lift
Scala und LiftScala und Lift
Scala und Lift
 
Erik
ErikErik
Erik
 
Bez tytułu 1
Bez tytułu 1Bez tytułu 1
Bez tytułu 1
 
Präsentation winterbilder
Präsentation winterbilderPräsentation winterbilder
Präsentation winterbilder
 
Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5
 
Relationship chart gordon henry kraft:guelph herzog bavaria von altdorf
Relationship chart gordon henry kraft:guelph herzog bavaria von altdorfRelationship chart gordon henry kraft:guelph herzog bavaria von altdorf
Relationship chart gordon henry kraft:guelph herzog bavaria von altdorf
 

Ähnlich wie Governance, Risk & Compliance

AMSYS - Anwendbare Management Systeme
AMSYS - Anwendbare Management SystemeAMSYS - Anwendbare Management Systeme
AMSYS - Anwendbare Management SystemeBjoern Bartels
 
Software Asset Management Strategies 2014
Software Asset Management Strategies 2014Software Asset Management Strategies 2014
Software Asset Management Strategies 2014Maria Willamowius
 
Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.
Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.
Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.GBTEC Software AG
 
Optimizer+ GiS Asset Performance Management
Optimizer+ GiS Asset Performance ManagementOptimizer+ GiS Asset Performance Management
Optimizer+ GiS Asset Performance ManagementRODIAS GmbH
 
2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)
2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)
2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)aOS Community
 
Softwarewerkzeuge Portfoliomanagement Vortrag TU Darmstadt
Softwarewerkzeuge Portfoliomanagement Vortrag TU DarmstadtSoftwarewerkzeuge Portfoliomanagement Vortrag TU Darmstadt
Softwarewerkzeuge Portfoliomanagement Vortrag TU DarmstadtAndreas Borchert
 
Produkt Produkt Manager
Produkt Produkt ManagerProdukt Produkt Manager
Produkt Produkt ManagerOliver Belikan
 
CRM-Lösungen von awisto
CRM-Lösungen von awistoCRM-Lösungen von awisto
CRM-Lösungen von awistoawisto
 
Jeder sollte Testen, bevor er in unendliche Weiten aufbricht
Jeder sollte Testen, bevor er in unendliche Weiten aufbrichtJeder sollte Testen, bevor er in unendliche Weiten aufbricht
Jeder sollte Testen, bevor er in unendliche Weiten aufbrichtCognizant
 
PPM - Portfolio-Projektmanagement mit SAP
PPM - Portfolio-Projektmanagement mit SAPPPM - Portfolio-Projektmanagement mit SAP
PPM - Portfolio-Projektmanagement mit SAPPhoron Consulting GmbH
 
Xing LearningZ: Nutzenpotenziale der digitalen Transformation entdecken
Xing LearningZ: Nutzenpotenziale der digitalen Transformation entdeckenXing LearningZ: Nutzenpotenziale der digitalen Transformation entdecken
Xing LearningZ: Nutzenpotenziale der digitalen Transformation entdeckenDigicomp Academy AG
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesMaria Willamowius
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesMaria Willamowius
 
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsInterview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsOPTIMAL SYSTEMS GmbH
 
Einladung art of planninig 2016_wien
Einladung art of planninig 2016_wienEinladung art of planninig 2016_wien
Einladung art of planninig 2016_wienHeimo Teubenbacher
 
MuniCons - CRM Efficiency Workshop Information für Nutzer von Salesforce CRM
MuniCons - CRM Efficiency Workshop Information für Nutzer von Salesforce CRMMuniCons - CRM Efficiency Workshop Information für Nutzer von Salesforce CRM
MuniCons - CRM Efficiency Workshop Information für Nutzer von Salesforce CRMSalesforce Deutschland
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Sopra Steria Consulting
 

Ähnlich wie Governance, Risk & Compliance (20)

AMSYS - Anwendbare Management Systeme
AMSYS - Anwendbare Management SystemeAMSYS - Anwendbare Management Systeme
AMSYS - Anwendbare Management Systeme
 
Software Asset Management Strategies 2014
Software Asset Management Strategies 2014Software Asset Management Strategies 2014
Software Asset Management Strategies 2014
 
Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.
Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.
Alle wichtigen Begriffe im BPM-Kontext einfach erklärt.
 
Optimizer+ GiS Asset Performance Management
Optimizer+ GiS Asset Performance ManagementOptimizer+ GiS Asset Performance Management
Optimizer+ GiS Asset Performance Management
 
2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)
2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)
2018 09-03 aOS Aachen - FY19 Microsoft SAM and Compliance overview (german)
 
Risiko-Analyse bringt Klarheit
Risiko-Analyse bringt KlarheitRisiko-Analyse bringt Klarheit
Risiko-Analyse bringt Klarheit
 
Softwarewerkzeuge Portfoliomanagement Vortrag TU Darmstadt
Softwarewerkzeuge Portfoliomanagement Vortrag TU DarmstadtSoftwarewerkzeuge Portfoliomanagement Vortrag TU Darmstadt
Softwarewerkzeuge Portfoliomanagement Vortrag TU Darmstadt
 
Produkt Produkt Manager
Produkt Produkt ManagerProdukt Produkt Manager
Produkt Produkt Manager
 
CRM-Lösungen von awisto
CRM-Lösungen von awistoCRM-Lösungen von awisto
CRM-Lösungen von awisto
 
Impulse für Ihre Karriere
Impulse für Ihre KarriereImpulse für Ihre Karriere
Impulse für Ihre Karriere
 
Jeder sollte Testen, bevor er in unendliche Weiten aufbricht
Jeder sollte Testen, bevor er in unendliche Weiten aufbrichtJeder sollte Testen, bevor er in unendliche Weiten aufbricht
Jeder sollte Testen, bevor er in unendliche Weiten aufbricht
 
PPM - Portfolio-Projektmanagement mit SAP
PPM - Portfolio-Projektmanagement mit SAPPPM - Portfolio-Projektmanagement mit SAP
PPM - Portfolio-Projektmanagement mit SAP
 
Xing LearningZ: Nutzenpotenziale der digitalen Transformation entdecken
Xing LearningZ: Nutzenpotenziale der digitalen Transformation entdeckenXing LearningZ: Nutzenpotenziale der digitalen Transformation entdecken
Xing LearningZ: Nutzenpotenziale der digitalen Transformation entdecken
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstories
 
Corporate risk minds 2013 topstories
Corporate risk minds 2013 topstoriesCorporate risk minds 2013 topstories
Corporate risk minds 2013 topstories
 
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-SystemsInterview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
Interview: Herausforderungen bei Auswahl und Installation eines DMS-/ECM-Systems
 
Einladung art of planninig 2016_wien
Einladung art of planninig 2016_wienEinladung art of planninig 2016_wien
Einladung art of planninig 2016_wien
 
MuniCons - CRM Efficiency Workshop Information für Nutzer von Salesforce CRM
MuniCons - CRM Efficiency Workshop Information für Nutzer von Salesforce CRMMuniCons - CRM Efficiency Workshop Information für Nutzer von Salesforce CRM
MuniCons - CRM Efficiency Workshop Information für Nutzer von Salesforce CRM
 
Leistungsspektrum
LeistungsspektrumLeistungsspektrum
Leistungsspektrum
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting
 

Governance, Risk & Compliance

  • 1. ITZ Informationstechnologie GmbH Seite 1 Governance Risk & Compliance (GRC) Governance, Risikomanagement und Compliance (GRC) sind derzeit brandaktuelle Themen auf der Agenda von Vorständen, Geschäftsführer und Führungskräften. Ursächlich wurzelt der Begriff der Corporate Governance in einer wertorientierten Unternehmensführung mit dem Ziel das Unternehmensergebnis und den Wert eines Unternehmens zu maximieren. Mittlerweile wird Corporate Governance wesentlich weiter gefasst und darunter die Sicherstellung einer verantwortungsvollen Unternehmensführung verstanden. Mit der Verpflichtung einen effizienten und effektiven GRC-Prozess zu betreiben wird der Obersten Leitung des Unternehmens der Auftrag „Steuern Sie das Unternehmen vorausschauend, managen Sie dessen Risiken und stellen Sie Compliance sicher!“ erteilt. Das Unternehmen vorausschauend zu steuern bedeutet, Ziele aus Eigentümervorgaben, den rechtlichen Rahmenbedingungen, dem Wettbewerbsumfeld und den Unternehmensstrategien bestmöglich in Einklang zu bringen und potentielle Gefahren, diese Ziele zu verfehlen, frühzeitig zu
  • 2. ITZ Informationstechnologie GmbH Seite 2 erkennen und zu minimieren. Der GRC-Ansatz fasst die drei wichtigsten Prozessschritte für eine effektive und effiziente Unternehmenssteuerung zusammen: • Governance bedeutet Eigentümervorgaben und Interessen, Vorschriften und Gesetze, Marktregeln und Wettbewerbssituationen sowie Unternehmensstrategien in klare Ziele und Managementdirektiven zu bringen, im Unternehmen zu kommunizieren und kontinuierlich an neue Gegebenheiten anzupassen. • Risikomanagement hat die Aufgabe, potentielle Abweichungen und Gefährdungen von Zielvorgaben frühzeitig zu erkennen und Maßnahmen zur Korrektur oder Vermeidung einzuleiten und deren Erfolg zu messen. • Compliance bzw. Regeltreue zu den geltenden Normen, Vorschriften und Richtlinien sicherstellen bedeutet, Regelverletzungen zu erkennen, aufzuzeigen und Maßnahmen zur Vermeidung einzuleiten und zu verfolgen. Damit der Vorstand/Geschäftsführer sein Unternehmen vorausschauend steuern, Risiken managen und die Compliance sicherstellen kann, benötigt er einen leistungsfähigen Steuerstand, der ihm die nötigen Informationen und Steuermöglichkeiten gibt, Ziele erreichen sowie Unwegsamkeiten frühzeitig erkennen und auszuweichen zu können. CRISAM® GRC ist der leistungsfähige Steuerstand, der dem Entscheider umfassende Methoden und Tools zur Verfügung stellt, das Unternehmen sicher auf Kurs zu steuern.
  • 3. ITZ Informationstechnologie GmbH Seite 3 CRISAM® Risikomanagement Methode Die CRISAM® (Corporate Risk Application Method) Risikomanagement Methode wurde vom Team der Firma calpana business consulting gmbh als Standard im Risikomanagement entwickelt. Seit 1998 wird die Methode vielfach erweitert und verbessert und hat sich im IT-Bereich weitgehend als Industriestandard durchgesetzt. CRISAM® vereint Methoden-, Wissens- und Erfahrungselemente aus dem Risikomanagement in einer einheitlichen Softwarelösung. CRISAM® gibt Ihnen damit die Sicherheit, richtige und fundierte Entscheidungen für das Wachstum und den Erfolg Ihres Unternehmens treffen zu können. CRISAM® Decision Engineering Unter Decision Engineering verstehen wir mehr als einen Risikomanagement-Prozess. Decision Engineering ist jener Prozess, der potenzielle Abweichungen erkennt, richtige Maßnahmen für die Rückführung identifiziert und deren Effizienz und Auswirkung nachvollziehbar feststellt, daraus für den Entscheider eine fundierte Entscheidungsgrundlage mit Alternativen und deren Konsequenzen liefert und getroffene Entscheidungen für Dritte nachvollziehbar und transparent gestaltet. CRISAM® ist einfach, präzise, wertorientiert und nachvollziehbar. Diese Werte bilden die Grundlage für die laufende Weiterentwicklung von CRISAM®. Einfach – weil die Bedienung sehr unkompliziert und intuitiv gestaltet ist. Präzise – weil Ihnen das hinterlegte Methodensystem die größtmögliche Genauigkeit liefert und jedes Ergebnis belastbar ist. Wertorientiert – weil Sie durch den Fokus auf quantitative Kennzahlen und Risikomaße eine wertorientierte Unternehmensführung verwirklichen können. Nachvollziehbar – weil die Ergebnisse durch entsprechende Analyse-, Reporting- oder Drilldown- Funktionen jederzeit transparent sind.
  • 4. ITZ Informationstechnologie GmbH Seite 4 CRISAM® 5 RMIS (Risk Management Information System) CRISAM® ist ein ganzheitlicher Ansatz, der Ihnen hilft, einen Blick nach vorne zu werfen. Natürlich ist die Zukunft unsicher, denn wäre sie sicher und fände sie in einer „Excel-Zelle“ platz, so wäre sie auch schon unsere Vergangenheit! CRISAM® unterstützt Sie dabei, diese Unsicherheit der Zukunft in den Griff zu bekommen und bereits frühzeitig darauf aufmerksam zu machen. Risikomanagement ist ein Prozess, der Risiken im Unternehmen, in Projekten oder in spezifischen Geschäftsbereichen erkennen, beurteilen und steuern soll. Ein Risk Management Information System (RMIS) ist das Werkzeug, das dem Risikomanager, den Risikoverantwortlichen sowie der Geschäftsführung die Grundlagen für richtige Entscheidungen liefern muss und Konsequenzen und Auswirkungen bestmöglich und transparent prognostizieren soll. Das in CRISAM® 5 implementierte Prozessmodell folgt dem international anerkannten Standard der ISO 31000. Abbildung 1: CRISAM® RMIS System
  • 5. ITZ Informationstechnologie GmbH Seite 5 In der Abbildung 1 ist die Struktur der CRISAM® 5 Funktionen und Methoden dargestellt. Das Fundament bilden der CRISAM® Enterprise Server, der CRISAM® Explorer und der CRISAM® Web- Access. Die CRISAM® Workflow-Engine steuert den Informations- und Aufgabenaustausch mit am Risikomanagement Prozess beteiligten Risiko-, Maßnahmen-, Aufgaben- und Kontrollverantwortlichen. CRISAM® unterstützt den Risikomanagement Prozess sowohl mit in der Plattform integrierten Basisfunktionen, als auch mit zwei anpassbaren Risikoaggregationsmethoden, Management- Domains, Content Libraries und bereitgestellten Mappings zu relevanten Compliance-Referenzen. Content Libraries werden aus Gründen der technologischen und Compliance-bedingten Veränderungen zyklisch aktualisiert und im Rahmen eines Abonnements bereitgestellt. CRISAM® 5 stellt in seiner Basisplattform die integralen Services und Methoden zur Verfügung, die in allen Risikomanagement Disziplinen zur Verfügung stehen. Ausgehend von dem aus der ISO 31000 abgeleiteten Prozessmodell wird dem Risikomanager eine leistungsfähige Applikation, der CRISAM® Explorer, bereitgestellt. Der CRISAM® Enterprise Server ist der zentrale Knotenpunkt jeder Installation. Entsprechend dem Rechtemanagement arbeiten ein oder mehrere Risikomanager in ihrer Management Disziplin, um unternehmensweite Risiken, IT- oder Projektrisiken zu bearbeiten. Risiken werden direkt oder remote per Web-Unterstützung von Risikoverantwortlichen erfasst. Erforderliche Maßnahmen werden identifiziert, bewertet, beauftragt und deren Umsetzung verfolgt. Die CRISAM® Workflow-Extension steuert den Informationsaustausch zentral und dezentral verteilter Aufgaben. Die Berichterstattung an die Geschäftsführung oder weitere Berichtsadressaten erfolgt durch das integrierte Berichtswesen oder das online verfügbaren Dashboard.
  • 6. ITZ Informationstechnologie GmbH Seite 6 CRISAM® Process Model CRISAM® basiert auf einem 6-stufigen Prozessmodell, welches durch einen TOP-DOWN und BOTTOM-UP Ansatz eine gesamtheitliche Betrachtung von Strategie, Organisation, Prozess und auch Infrastruktur ermöglicht. Abbildung 2: CRISAM® Prozessmodell Abbildung 2 zeigt das CRISAM® Prozessmodell, anhand dessen der unternehmensweite Risikomanagement Prozess implementiert wird. Das Modell ist aus der ISO 31000 abgeleitet und basiert auf dem „PLAN-DO-CHECK-ACT“ (PDCA) Deming-Prozess. Abhängig von der gewählten Aggregations-Methode werden in den einzelnen Prozessschritten unterschiedliche Risikomodelle (Fehlerbaum bzw. Geschäftslogik) aufgebaut und spezifische Analysemethoden zur Bewertung der Risiken angewandt. Das in CRISAM® zugrunde gelegte Prozessmodell sieht zwei Rückkoppelungen vor. Damit wird im Risikomanagement Prozess eine kontinuierliche Verbesserung durch den zyklischen Durchlauf der einzelnen Prozessschritte sichergestellt.
  • 7. ITZ Informationstechnologie GmbH Seite 7 CRISAM® Explorer Risikomanager fordern in ihrer Risikomanagement Disziplin bestmöglich unterstützt zu werden. Dabei sind die Aufgaben und auch die erforderlichen Werkzeuge zum Managen unternehmens - weiter, finanzwirtschaftlicher Risiken, IT-Risiken, Projektrisiken etc. durchaus unterschiedlich. Der CRISAM® Explorer vereint alle erforderlichen Methoden und Werkzeuge und stellt sie themenbezogen dem Benutzer zur Verfügung. Das bekannte Look & Feel von Microsoft Outlook trägt dazu bei, dass eine Benutzerschulung ausschließlich auf technische bzw. methodische Aspekte reduziert werden kann. Mit den aus Microsoft Office Produkten bekannten Menübändern finden Sie die gewünschten Funktionen immer an der richtigen Stelle. Abbildung 3: Ausschnitt aus der CRISAM® Explorer Benutzerführung Abbildung 3 zeigt einen Ausschnitt der bereitgestellten Werkzeuge. Der Werkzeugkasten ist analog dem bekannten Benutzerdialog aus der Microsoft-Office Welt aufgebaut, sodass nach nur kurzer Lernphase die Leistungsfähigkeit von CRISAM® 5 ausgeschöpft werden kann.
  • 8. ITZ Informationstechnologie GmbH Seite 8 CRISAM® Enterprise Server und Web-Access Der CRISAM® Enterprise Server ist das Zentrum der Zusammenarbeit im Risikomanagement Prozess. Abbildung 4 zeigt eine typische Implementierung eines Risk Management Information System basierend auf CRISAM® 5. Der Enterprise Server übernimmt dabei neben den Server- und Datenbank- Funktionalitäten Kollaboration-Aufgaben zwischen zentralen und dezentralen Beteiligten im Risikomanagement Prozess. Über Standard-Schnittstellen fügt sich der Enterprise Server in die Kommunikations- und Informationsinfrastruktur Ihres Unternehmens nahtlos ein. Sowohl Aufgaben, als auch Erinnerungen werden den dezentralen Beauftragten in ihrer vertrauten Email-Umgebung übermittelt. Die Erfüllung und Umsetzung ihrer Aufgaben wird durch die einfach und intuitiv bedienbare Web-Oberfläche ermöglicht. Abbildung 4: Implementierung eines CRISAM® RMIS Systems
  • 9. ITZ Informationstechnologie GmbH Seite 9 Dezentrale Risikomanagement Prozess Beteiligte sind im Fachbereich angesiedelt. Ihr Daily Business ist somit nicht primär der Umgang mit Risikomanagement Werkzeugen. Aus diesem Grund stellt CRISAM® 5 eine zielgruppenorientierte, webbasierte und einfach bedienbare Benutzeroberfläche zur Verfügung. Der Benutzer wird über einfach gestellte Fragen durch den gesamten Dialog geführt. Diese gezielten Fragen werden mittels nachvollziehbarer statistischer Interpretationen in eine vom Risikomanager geforderte Form konvertiert. Abbildung 5: CRISAM® Web-Interface
  • 10. ITZ Informationstechnologie GmbH Seite 10 Reports & Dashboard CRISAM® stellt Informationen, Ergebnisse und den Status sowohl in Berichten, als auch im Dashboard zur Verfügung. Reports werden in vorgefertigten Standardberichten (prozessrelevante Berichte, Management Berichte und Compliance Berichte) zur Verfügung gestellt, die vom Kunden mit dem Report-Designer auf kundenspezifische Anforderungen angepasst werden können. Aus einer Auswahl von über 60 vorbereiteten KPIs werden dem Management alle relevanten Informationen in Form eines Dashboards übersichtlich zur Verfügung gestellt. Ab der Version CRISAM®5 stehen den berechtigten Benutzern sowohl das Dashboard als auch die Berichte unternehmensweit auch auf mobilen Endgeräten zur Verfügung. Abbildung 6: CRISAM® Dashboard
  • 11. ITZ Informationstechnologie GmbH Seite 11 CRISAM Compliance References Compliance Referenzen sind Normen, Vorschriften und Best Practices. Unternehmen orientieren sich aus freiwilliger Bindung an diesen, sind dazu verpflichtet oder werden von autorisierter Stelle gegen diese geprüft. Sehr oft ist es mehr als lediglich eine Compliance Referenz gegenüber der die Konformität nachgewiesen werden muss. Beispielsweise wird die IT an der ISO 27001, ISO 20000, COBIT, SOX, geltenden Gesetzen und dem Datenschutz gemessen, auditiert und geprüft. In spezifischen Branchen werden zusätzlich ergänzende Prüfungsrahmen erforderlich. Um diese Compliance-Nachweise aktuell und mit vertretbarem Aufwand durchführen zu können, leitet CRISAM® die Konformitätsnachweise aus den zugrunde gelegten Content Libraries ab. Diese Vorgehensweise besitzt den wesentlichen Vorteil, dass keine spezifischen Kontrollfragen für bestimmte Compliance Referenzen zusätzlich beantwortet werden müssen. CRISAM® leitet die Konformität zu den jeweiligen Vorgaben aus den in der Content Library mitgelieferte Mappings zu den unterstützten Compliance Referenzen automatisiert ab und stellt den Grad der Compliance in Berichten und den KPIs im Dashboard dar. In CRISAM® Out-Of-The-Box unterstützte Compliance Referenzen sind aktuell: ISO 27002; ISO 27019; ISO 20000; ISO 80001-1; ISO 9001; ISO 15224; EN 50600; BSI Grundschutz; ISAE 3402; Euro Cloud; COBIT; COSO; SOX; BDEW; BSI 100-2; BSI 100-4; PCI-DSS Mit der Aktualisierung der Content Libraries, spezifischen Kundenanforderungen und dem Erscheinen neuer Standards wird die Unterstützung kontinuierlich aktualisiert und erweitert.
  • 12. ITZ Informationstechnologie GmbH Seite 12 IT Grundschutz (BSI) In der heutigen Zeit sind viele Institutionen in Wirtschaft und Verwaltung vom einwandfreien Funktionieren der IT abhängig. Durch diese steigende Abhängigkeit und der wachsenden Bedrohungspotenziale, gewinnt die Informationssicherheit einen immer größeren Stellenwert. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT- Grundschutz eine Kombination aus einer Methodik für Sicherheitsmanagement mit konkreten Maßnahmen-Empfehlungen. Diese Empfehlungen decken nicht nur technische, sondern auch organisatorische, personelle und bauliche Aspekte ab. Generell bietet der BSI IT-Grundschutz eine anerkannte Vorgehensweise zur Entwicklung und Überprüfung von Sicherheitskonzepten. Er enthält darüber hinaus Empfehlungen für Maßnahmen, mit denen ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau erreicht werden kann. Um diese Maßnahmen-Empfehlungen auf die jeweilige Organisation abzustimmen, werden sogenannte Bausteine verwendet, um den Aufbau des Unternehmens abzubilden. Diese Bausteine enthalten mögliche Gefährdungen, die auf das Objekt wirken können, und Maßnahmen um diesen entgegenzuwirken.
  • 13. ITZ Informationstechnologie GmbH Seite 13 Das BSI GSTOOL dient der Erstellung solcher Sicherheitskonzepte und ist insbesondere in Deutschland weit verbreitet. Neben dem offiziellen GSTOOL bietet aber auch CRISAM die Möglichkeit, IT-Grundschutz im Unternehmen zu etablieren, da der Aufbau von CRISAM dem Bausteinprinzip des IT-Grundschutzes ähnelt. Aufgrund dessen ist CRISAM mittlerweile auch auf der BSI-Webseite als offizielle Alternative zum GSTOOL gelistet. Der CRISAM Explorer bietet alle nötigen Bausteine um die Grundschutz-Thematik zur Gänze abzubilden und bietet außerdem zahlreiche Möglichkeiten, für ein weiterführendes Risikomanagement wie z.B. eine monetäre Bewertung. Das Modellieren der Risikoobjekte erfolgt in einem Fehlerbaum, der gesamte IT-Risiko-Management- Prozess ist abbildbar. Ein weiterer großer Vorteil sind die anpassbaren und aussagekräftigen Reportmöglichkeiten von CRISAM. Weiterführende Informationen erhalten Sie auf Anfrage: ITZ Informationstechnologie z.Hd. Herrn Uwe Rydzek Heinrich-Held-Str. 16 45133 Essen Tel.: 0201-24714-93 Mail: uwe.rydzek@itz-essen.de