Alles mit Recht
ITG
ITG
Fichier Détails
| Cartes-fiches | 52 |
|---|---|
| Langue | Deutsch |
| Catégorie | Psychologie |
| Niveau | École primaire |
| Crée / Actualisé | 21.01.2017 / 23.01.2017 |
| Lien de web |
https://card2brain.ch/box/20170121_alles_mit_recht
|
| Intégrer |
<iframe src="https://card2brain.ch/box/20170121_alles_mit_recht/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Was ist ein Risiko:
negative Abweichung eines erwarteten Zielzustands
Nenne 4 IT-Risiken
1. Vertraulichkeit (unbefugte)
2. Integrität (unbefugte Modifikation)
3. Verfügbarkeit (beeinträchtigte Funktionalität)
4. Zurechenbarkeit (unzulässige Unverbindlichkeit)
Zeichne das Risikomgmt-Modell:
IBSK oder IBSÜ
Welche Punkte beinhaltet die Goals Cascade aus COBIT 5?
- Stakeholder Drivers (Environment, Technology)
- Stakeholder Needs (Benefits, Risk Optimisation)
- Enterprise Goals
- IT-related Goals
- Enabler Goals
Was beinhaltet das Prinzip "Meeting Stakeholder Needs"?
COBIT 5 stellt alle erforderlichen Prozesse und Enablers zur Verfügung, die benötigt werden, um Business Value durch IT zu ermöglichen.
Was beinhaltet das Prinzip "Covering the Enterprise End-to-end?
COBIT 5 deckt alle Funktionen und Prozesse einer Unternehmung ab. Nicht nur die IT-Funktionen.
Was beinhaltet das Prinzip "Applying a Single, Integrated Framework"?
COBIT 5 ist an andere Standards (z.B. ITIL) ausgerichtet und dient als allumfassendes Framework.
Was beinhaltet das Prinzip "Enabling a Holistic Approach"?
Dieses Prinzip besagt, dass verschiedene Komponenten wie Prozesse, Strukturen und Menschen miteinander interagieren müssen.
Was beinhaltet das Prinzip "Separating Governance From Management"?
Governance und Management beinhalten unterschiedliche Aktivitäten.
Governance folgt dem EDM-Model und ermöglicht die Erfüllung der Stakeholder Needs.
Management plant, baut, führt aus und überwacht (PDCA-Cycle) Aktivitäten basierend auf Governance.
Was sind die Vorteile von COBIT 5?
- Wird gut gepflegt -> von Experten (ISACA)
- ISO 38500 ist in COBIT interpretiert worden
- Hohe Abdeckung
- Kostenlos
- Kontinuierliche Weiterentwicklung
Welche 2 Prozesse sind in COBIT für RsikMgmt zuständig?
EDM03 und APO12
Was bedeutet EDM?
Evaluate, Direct, Monitor
Was bedeutet APO
Align, Plan, Organize
Definition IT-Controls:
ist eine Prozedur/Verfahren oder Regel, die eine hinreichende Sicherheit dafür bietet, dass die von einer Organisation verwendete IT bestimmungsgemäss arbeitet, dass Daten zuverlässig sind und dass die Organisation die geltenden Gesetze und Vorschriften einhält.
- IT-Kontrolle sollte zeigen, dass die Organisation über ein Verfahren verfügt, die Mgmt beeinflusst über Prozesse wie RiskMgmt, ChangeMgmt, Disaster Recovery und Sicherheit.
- Bei Applikationen die für bestimmte Geschäftsprozesse (Abrechnung) verwendet werden sollte zeigen: nur mit korrekter Berechtigung, überwacht und kontrolliert!
10 interne Kontrollmängel:
- Inadequate Doku
- Wichtige Geschäftszyklen nicht richtig definiert
- Kontrollmangel mit Autorisation der Transaktion
- Keine Übersicht und Review
- Ineffektive IS
- Mangel an physischer und logischer Sicherheit
- Keine formalen ethischen Regeln und Prozeduren
- Jobrollen und Verantwortlichkeiten nicht klar definiert
- Mangelnde Trennung der Aufgaben
- Inadequate Disaster Recovery, Backups und Businesspläne
Geschäftseinfluss von SOX?
- SOX erhöhte Kosten des Geschäftens
=> grosse Veränderung in Governance und Finanz Reporting -> ohne SOX hätten viele vermieden
- viele Unternehmen melden zurück, dass improvement in Finanz und IT-Prozesse
- Nutzen wird als "moderat" gewertet, aus Sicht Prozessverbesserung in Bezug Kostensparen als Messsicht
Effizienz?
Dinge richtig tun
Effektivität?
Das richtige tun
Eingliederung COBIT und ITIL?
- ITIL: Intern + Gegenwart
- COBIT: Extern + Zukunft, prozessorientiert
Was ist SOX?
- Sarbanes Oxley Act
- US-Gesetz für alle US-börsenkotierte Unternehmen
- Soll Verlässlichkeit der Berichterstattung von Unternehmen verbessern
- Kodex mit globaler Reichweite
- Dient auch ausserhalb der USA als Messlatte
Was ist die Definition von Corporate Compliance?
- bestimmte relevante Vorgaben bei Geschäftstätigkeit befolgen
- Vorgaben können extern vorgegeben oder intern gewählt sein
- Muss nachweisbar sein -> Compilance Nachweis
- rechtskonformes Verhalten muss durch organisatorische Massnahmen und Prozesse sichergestellt sein
Hat auch viel mit Ethik (Moral) und Tugenden (Ehrlichkeit, Aufrichtigkeit etc.) zu tun
Was fordert SOX?
- Trennung von Wertpapierund Beratungsmandaten
- Internes Kontrollsystem von Unternehmen (IKS) mit "Control Framework" welches von Experten anerkannt.
=> COBIT, COSO, ITIL
Für was sind Modelle / Frameworks?
Modelle/Frameworks standardisieren Kontrollen + integrieren wichtige Aspekte wie RiskMgmt, Information und Kommunikation. Erst dadurch wird unternehmensweite Führungssystem vervollständigt und wirkungsvoll.
SOX Sektion 302 und Einfluss auf IT-Mgmt
- Datenklassifikation -> Transaktionen
- User Mgmt -> Rechte Daten zu verändern
- Information Mgmt -> Komplett + Genau | Kann das bewiesen werden?
- Datenintegrität + Validation ->Datenrecord macht Sinn? Im Vergleich zu anderen?
Mögliche Gefahren in der IT (Sicherer IT-Betrieb)
- Veränderung der Daten -> Unbefugte
- Programme verarbeiten Daten fehlerhaft
- Daten gehen verloren
- IT-Infrastruktur nicht sicher betrieben
Nenne drei Control Frameworks:
- COSO (unternehmensweite Prozesse)
- COBIT (spezifische IT-Prozesse)
-ITIL (best practice, IT-relevante Serviceprozesse)
SOX Sektion 404:
Top Mgmt Verantwortlichkeit (CEO + CFO)
Statement von CEO + CFO betreffend Finanzreport (Abschlüsse):
- Sind verantwortlich für Kontrolle über Finanzreport
- Ihre Schlussfolgerung der Effektivität dieser Kontrollen basierend auf Evaluation
- Dass Abschlussprüfer über Bewertung der Kontrollen durch Mgmt und Wirksamkeit der Kontrollen berichtet haben.
Rapport des Testens (SOX Sektion 404)
- Alle Kontrollmängel müssen bewertet sein -> Einfluss/Schwere über Abschluss
- Inadequate Doku = Mangel in interner Kontrolle
- Alle Kontrollmängel rapportiert von Abschlussprüfer an Mgmt
- Alle signifikanten Mängel + Materialschwächen müssen von Abschlussprüfer ans Abschlusskomittee rapportiert werden
- Wo Materialschwäche identifiziert -> Rapport Kontrollsystem ist ineffektiv.
Modell der Beziehungen zwischen GRC:
Was bedeutet Corporate Compliance?
Compliance = Kontrolle und Rechenschaftspflicht in der Erfüllung eines Mandats. Es ist auch berechenbar, konsistent und transparentes Verhalten.
Einhalten der Vorschriften:
- Weiss was zu tun ist -> Sammle angemessene Anforderungen von verschiedenen Quellen
- Stelle fest was du weisst -> Definiere/Formuliere Regeln, Prozesse und Kontrollen
- Tu was du feststellst -> Implementiere Regeln, Prozesse und Kontrollen -> manage diese!
- Sag was du tust -> Monitor und Report falls nötig
-
- 1 / 52
-
