-
ISO/ICE 27001 / ISO 27002 & DSGVO – eine gelungene Kombination?
Die am 27. April 2016 veröffentlichte und seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO bzw. Verordnung (EU) 2016/679) bzw. das Gesetz zur Anpassung des Datenschutzrechtes an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, kurz BDSG (neu), hat die Unternehmen vor neue Herausforderungen gestellt. Doch nicht nur das – in dem einen oder anderen Sachverhalt führte…
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil A – Allgemeine Risiken
Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters1. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken. Empfehlungen und prozessunabhängige Kontrollen für Cloud-Risiken Im folgenden Abschnitt wird auf die zuvor identifizierten Risiken eingegangen. Es…
-
Compliance Management – Eine Standortbestimmung
Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden. Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer…
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil B – Cloud-spezifische Risiken
Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil). Kontroll-ID Kontrollziel Maßnahme…
-
Branchenspezifische Sicherheitsstandards (B3S) für KRITIS-Sektoren veröffentlicht
Der zuletzt durch das BSI freigegebene branchenspezifische Sicherheitsstandard betrifft den Sektor medizinische Versorgung (im Krankenhaus). Gemäß der Pressemitteilung vom 23.10.2019 des BSI hat dieses den Cyber-Sicherheitsstandard für Krankenhäuser von der Deutschen Krankenhausgesellschaft (DKG) anerkannt. Laut der Ausführungen des BSI waren medizinische Einrichtungen und Krankenhäuser 2019 wiederholt durch IT-Sicherheitsvorfälle sowohl in den Fokus der Behörden als auch in die Presse geraten.…
-
Governance-System der Versicherungsunternehmen gemäß Solvency II
Elemente eines Governance-Systems Die Anforderungen an ein Governance-System in Versicherungsunternehmen sind ein wesentlicher Bestandteil von Solvency II. Konkretisiert werden diese Anforderungen in den Artikeln 41 bis 50 der EU-Richtlinie 2009/138/EG vom 25.11.2009, welche auch in die nationale Gesetzgebung einfließen werden. Angelehnt an die Richtlinie sollte ein wirksames Governance-System folgende Elemente umfassen: Beurteilung und Weiterentwicklung des Governance-Systems im eigenen Unternehmen Die…
-
Im Spannungsfeld zwischen Haftung und Effizienz – Corporate Governance in Deutschland
Siemens hat es getan, die Deutsche Telekom und Daimler haben es ebenfalls getan: nämlich einen eigenen Vorstandsposten mit direkter Verantwortung für den Bereich Compliance einzurichten. Nun ist bei diesen drei Konzernen ein solcher Schritt sicher nicht gerade überraschend, haben sie doch aufgrund ihrer Präsenz am US-Kapitalmarkt aufgrund von Compliance-Verstößen schon wiederholt unliebsamen Kontakt mit der US-Börsenaufsicht SEC gehabt. Wer nun…
-
Überblick Compliance-Tools
„Compliance“ in Unternehmen und anderen Organisationen hat in der jüngsten Vergangenheit einen hohen Stellenwert bekommen. Es ist mehr als nur ein Modebegriff. Compliance ist aus dem täglichen Gedankengut von Führungskräften kaum noch wegzudenken. Aus diesem Grund verwundert es wenig, dass das Thema von Dienstleistern und Anbietern von Tools aller Art als Verkaufsargument genutzt wird. Alles und jedes lässt sich ja…
-
Office Compliance – Auch EXCEL-Sheets unter Kontrolle bekommen mit aOPM
In vielen Organisationen werden Daten zur Unternehmenssteuerung häufig in Tabellenkalkulationsprogrammen, wie z.B. Microsoft Excel, aufbereitet und dokumentiert. Die Flexibilität des Werkzeugs ist zugleich sein größtes Risiko. „Spreadsheet Risks“ sind eine große Fehlerquelle in Unternehmen. Eine Dokumentation und wirksame „Spreadsheet Controls“ sind oft kaum umsetzbar. Eine Vielzahl von Office-Dateien ist kaum bekannt und damit nur schwer kontrollierbar. Was für alle Unternehmen…
-
Tax-Compliance durch e-Bilanz Cockpit
E-Bilanz direkt in SAP®: Das LiNKiT eBilanz Cockpit für SAP® E-Bilanz ist 2013 eines der wichtigen Themen in den Finanzabteilungen der Unternehmen. Zur Umsetzung der gesetzlichen Anforderungen müssen sie sich zwischen unterschiedlichen Lösungsansätzen entscheiden: Die Bandbreite der rund 50 angebotenen „E-Bilanz“ Produkte (siehe: https://www.elster.de/elster_soft_nw.php) reicht von reinen Übermittlungswerkzeugen, die lediglich anderweitig erstellte Steuerbilanzdaten an die Finanzbehörde versenden bis hin zu…
