Alles mit Recht
ITG
ITG
Fichier Détails
| Cartes-fiches | 52 |
|---|---|
| Langue | Deutsch |
| Catégorie | Psychologie |
| Niveau | École primaire |
| Crée / Actualisé | 21.01.2017 / 23.01.2017 |
| Lien de web |
https://card2brain.ch/box/20170121_alles_mit_recht
|
| Intégrer |
<iframe src="https://card2brain.ch/box/20170121_alles_mit_recht/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Geschäftseinfluss von SOX?
- SOX erhöhte Kosten des Geschäftens
=> grosse Veränderung in Governance und Finanz Reporting -> ohne SOX hätten viele vermieden
- viele Unternehmen melden zurück, dass improvement in Finanz und IT-Prozesse
- Nutzen wird als "moderat" gewertet, aus Sicht Prozessverbesserung in Bezug Kostensparen als Messsicht
Effizienz?
Dinge richtig tun
Effektivität?
Das richtige tun
Eingliederung COBIT und ITIL?
- ITIL: Intern + Gegenwart
- COBIT: Extern + Zukunft, prozessorientiert
Was ist SOX?
- Sarbanes Oxley Act
- US-Gesetz für alle US-börsenkotierte Unternehmen
- Soll Verlässlichkeit der Berichterstattung von Unternehmen verbessern
- Kodex mit globaler Reichweite
- Dient auch ausserhalb der USA als Messlatte
Was ist die Definition von Corporate Compliance?
- bestimmte relevante Vorgaben bei Geschäftstätigkeit befolgen
- Vorgaben können extern vorgegeben oder intern gewählt sein
- Muss nachweisbar sein -> Compilance Nachweis
- rechtskonformes Verhalten muss durch organisatorische Massnahmen und Prozesse sichergestellt sein
Hat auch viel mit Ethik (Moral) und Tugenden (Ehrlichkeit, Aufrichtigkeit etc.) zu tun
Was fordert SOX?
- Trennung von Wertpapierund Beratungsmandaten
- Internes Kontrollsystem von Unternehmen (IKS) mit "Control Framework" welches von Experten anerkannt.
=> COBIT, COSO, ITIL
Für was sind Modelle / Frameworks?
Modelle/Frameworks standardisieren Kontrollen + integrieren wichtige Aspekte wie RiskMgmt, Information und Kommunikation. Erst dadurch wird unternehmensweite Führungssystem vervollständigt und wirkungsvoll.
SOX Sektion 302 und Einfluss auf IT-Mgmt
- Datenklassifikation -> Transaktionen
- User Mgmt -> Rechte Daten zu verändern
- Information Mgmt -> Komplett + Genau | Kann das bewiesen werden?
- Datenintegrität + Validation ->Datenrecord macht Sinn? Im Vergleich zu anderen?
Mögliche Gefahren in der IT (Sicherer IT-Betrieb)
- Veränderung der Daten -> Unbefugte
- Programme verarbeiten Daten fehlerhaft
- Daten gehen verloren
- IT-Infrastruktur nicht sicher betrieben
Nenne drei Control Frameworks:
- COSO (unternehmensweite Prozesse)
- COBIT (spezifische IT-Prozesse)
-ITIL (best practice, IT-relevante Serviceprozesse)
SOX Sektion 404:
Top Mgmt Verantwortlichkeit (CEO + CFO)
Statement von CEO + CFO betreffend Finanzreport (Abschlüsse):
- Sind verantwortlich für Kontrolle über Finanzreport
- Ihre Schlussfolgerung der Effektivität dieser Kontrollen basierend auf Evaluation
- Dass Abschlussprüfer über Bewertung der Kontrollen durch Mgmt und Wirksamkeit der Kontrollen berichtet haben.
Rapport des Testens (SOX Sektion 404)
- Alle Kontrollmängel müssen bewertet sein -> Einfluss/Schwere über Abschluss
- Inadequate Doku = Mangel in interner Kontrolle
- Alle Kontrollmängel rapportiert von Abschlussprüfer an Mgmt
- Alle signifikanten Mängel + Materialschwächen müssen von Abschlussprüfer ans Abschlusskomittee rapportiert werden
- Wo Materialschwäche identifiziert -> Rapport Kontrollsystem ist ineffektiv.
Modell der Beziehungen zwischen GRC:
Was bedeutet Corporate Compliance?
Compliance = Kontrolle und Rechenschaftspflicht in der Erfüllung eines Mandats. Es ist auch berechenbar, konsistent und transparentes Verhalten.
Einhalten der Vorschriften:
- Weiss was zu tun ist -> Sammle angemessene Anforderungen von verschiedenen Quellen
- Stelle fest was du weisst -> Definiere/Formuliere Regeln, Prozesse und Kontrollen
- Tu was du feststellst -> Implementiere Regeln, Prozesse und Kontrollen -> manage diese!
- Sag was du tust -> Monitor und Report falls nötig
Was hat es mit Enron auf sich?
Startschuss für SOX.
- Altervorsorge der Amerikaner
- Geschönte Bilanz über Jahre
Erkläre "SOX zwingt zum Schulterschluss"
- Gesetz soll globale Dursetzungskraft verschaffen
- 1250 ausländische Unternehmen in den USA kotiert uns SEC-berichterstattungspflichtig
- Rotation des Audit Committee
- verstärkte Aufsicht über die Revision-/Auditgesellschaften
- Frameworks sollen eingesetzt werden. Z.B. Cobit, ITIL
SOX wertet IKS auf. Erkläre!
- SOX regelt, wer wofür zuständig ist
- Frameworks stadardisieren Kontrollen und integrieren wichtige Aspekte wie Risikomanagement, Information und Kommunikation
- Unternehmensweite Führungssystem wird vervollständigt und wirkungsvoll
Einfluss von SOX auf IT-Governance
- Bestehende Risiken sollen reduziert werden
- Jene Geschäftsfälle bestimmen, die erheblichen Einfluss auf das Ergebnis der Rechnungslegung besitzen
- Eigenschaften von relevanten Prozesse sind:
- Wer initiiert Geschäftsfall auf welche Weise?
- Wie, wann und wer autorisiert einen Geschäftsfall?
- Wie wird der Datensatz zum Geschäftsfall erstellt und verwendet?
Nenne die wichtigsten Aussagen zu "IT doesn't matter" von N. Carr.
- Spend less! Follow, don't lead! Focus on risks, not opportunities!
- IT-Abteilungen werden verschwinden
- Dezentralisierung, Outsourching
- IT ist heute breit verfügbar
- Man kann "IT Services" kaufen
- Strategisch bedeutsam ist nur etwas, was knapp ist
- Informationssysteme sind/werden "Commodities"
Nenne verschiedene Kritikpunkte an der Argumentation von N. Carr (IT doesn't matter)
- Sinnvolle Anwendung stelle immer noch eine knappe Fähigkeit dar
- Anwender machen nichts aus den vielen Daten, über die sie verfügen
- Carr würde IT zu undifferenziert sehen
- Carr vernachlässige die prozess- und verfahrensorientierten Bereiche
Nagl/Spaniol Test kurz zusammengefasst in Stichworten
- Firmen lagern immer mehr aus
- Version 1 von Produkt teuer, fehleranfällig. Nächste Version besser, billiger
- warten bis Preis einpendelt und für jedermann erwschinglich => Allgemeingut
- Strategischer Vorteil von gross zu klein.
- IT Produkte einfach kopierbar -> Land mit Niedriglohnkosten
- Freaks...
- Kernkompetenz ausgelagert -> Verlust dieser Kompetenz + Abhängigkeit von Lieferanten
- Beim 2ten Zyklus dabei!
Was ist Corporate Governance?
Ein Set von Aufgaben/Prozessen, die sich ein Unternehmen setzt, um sein Business zu steuern.
- Governance steuert die Compliance
- Integration
- IT Governance betrifft das Executive Management und ist integraler Bestandteil der Unternehmungs Governance
- Decision & Accountability
- IT Governance ist das Entscheidungsrecht und die Verantwortung um IT zu ermöglichen und anzuwenden
Corporate Governance drives IT Governance. Was ist darunter zu verstehen?
Corporate Governance beinhaltet:
- Conformance
- Anbindung an Gesetzte, interne Policies, Audit Requirement
- Performance
- Profit verbessern, Effektivität steigern, Wachstum generieren
Corporate Governance und IT Governance brauchen eine Balance zwischen Conformance und Performance.
Wie ist IT Governance und IT Management zu positionieren?
IT Management intern und kurzsichtige Zeitorientierung
IT Governance extern und weitsichtige Zeitorientierung
IT/Business Alignment: Systematisierung nach Aufgaben: Zeichne das Modell
IT-Governance at one Page (Text)
Welche Entscheidungen müssen gemacht werden?
- IT-Prinzipien -> Rolle von IT im Business
- IT-Architektur -> Kernprozesse - welche?
- IT-Infrastruktur -> welche Services outgesourct?
- Anforderungen an Business-Applikationen -> Chancen
- IT-Investment -> IT-Portfolio
Wer macht diese Entscheidungen?
- Business Monarchie -> Top Mgr
- IT Monarchie -> IT Mgr
- Föderal -> Kombi Zentraleinheit + Dezentral oft auch IT dabei
- IT Duopol -> IT + Geschäftseinheit (CIO+CxO)
- Feudal -> Jede Geschäftseinheit eigene Entscheidung
- Anarchie -> kleine Gruppe von Individuellen eigene Entscheidung
Governance Matrix zeichnen:
ISO 38500:2008 nennt 6 Prinzipien. Welche sind das?
Verantwortlichkeit (verstehen und kennen)
Strategie (strategische IT-Pläne gehen einher mit Geschäftsstrategie)
Akquisition (valider Grund, Balance Nutzen Kosten Chancen Risiken)
Leistung (Servicequalität sicherstellen)
Konform (Gesetze)
Menschliche Verhalten (Respekt und Nutzen)
Modell Corporate Governance of IT zeichnen:
Was beinhaltet "Responsibility of Directors"?
- Evaluate
Nutzen, Effektivität und Akzeptanz von IT und die Kompetenzen zur diesen Responsibilities evaluieren - Direct
Sicherstellen, dass Pläne betreffend der IT-Verantwortung umgesetzt werden und dass relevante Informationen zur Erfüllung der Verantwortung bereitgestellt sind - Monitor
Vorschritt der IT überwachen, damit Ziele erreicht werden können
Wie ist COBIT5 aufgebaut?
- Berücksichtigt EDM -> Evaluate, Direct, Monitor
- Separiert Governance von Management
- 5 IT-Governance Prozesse (zu oberst)
- 32 IT-Management Prozesse (liegen darunter)
- Ziel-Kaskade
- Enterprise Goals
- IT-related Goals (17 Ziele)
- Enabler Goals
Welches sind die 5 Kern Prinzipien im COBIT5 Framework?
Was sind in COBIT5 die 7 Enablers?
- Prinzipien, Policies und Frameworks
- Prozesse
- Organisatorische Strukturen
- Kultur, Ethik und Verhalten
- Informationen
- Service und Infrastruktur
- Meschen, Fähigkeiten und Kompetenzen
COBIT RACI-Modell: Für was steht RACI?
R = Responsibility
A = Accountability
C = Consulted
I = Informed
COBIT Komponenten?
- Planung und Organisation
- Erfassung und Implementierung
- Lieferung und Support
- Überwachung und Bewertung
- Informationskriterien
Was ist Risikomgmt:
systematische Identifizierung, Analyse, Bewertung, Steuerung, Überwachung und Kommunikation von Risiken
Was ist ein Risiko:
negative Abweichung eines erwarteten Zielzustands
Nenne 4 IT-Risiken
1. Vertraulichkeit (unbefugte)
2. Integrität (unbefugte Modifikation)
3. Verfügbarkeit (beeinträchtigte Funktionalität)
4. Zurechenbarkeit (unzulässige Unverbindlichkeit)
Zeichne das Risikomgmt-Modell:
IBSK oder IBSÜ
