Embed Size (px)
Citation preview
15 Stunden CPE
Die Top-Themen:– Konsequenzen der EU-Datenschutzgrundverordnung– Umsetzung des IT-Sicherheitsgesetzes (IT-SIG)– Datenanalyse und Continuous Auditing– Aktuelle Cloud-Risiken– ISMS-Trends
Deutsches Institut fürInterne Revision e.V.
13. DIIR IT-Tagung Aktuelle IT-Risiken, neue Regeln, zeitgemäße Prüfansätze
16. - 17. Mai 2017 in Düsseldorf
QR-Code zurTagungsbroschüre
Tagu
ng
Frühbucherpreis bis zum 21. April 2017
Gold
Silber
2
5 gute Gründe für Ihre Teilnahme: Sie können besser auf sich verändernde IT-Risiken reagieren Sie bekommen aktuelle Prüfansätze vorgestellt und können diese diskutieren 15 CPE Punkte für Ihr persönliches Weiterbildungsbudget Sie lernen neue Regelungen kennen und verstehen Umfangreiche Networking-Möglichkeiten mit Experten und Kollegen
Gold Sponsoren
Silber Sponsor
In Kooperation mit:
Programm16. Mai 20171. Veranstaltungstag
3
Registrierung und Ausgabe der Tagungsunterlagen
Eröffnung der Tagung
Begrüßung und ISACA-Update
Dr. Oliver ENGELSManaging Director AuditDeutsche Börse AG,FrankfurtVorstandsmitglied des DIIR – Deutsches Institut für Interne Revison e.V.
Markus GAULKE CISA CISM CGEITVorstandsmitgliedISACA Germany Chapter e.V.,Berlin
08.30 – 09.00 Uhr
09.00 – 09.15 Uhr
09.15 – 09.45 Uhr
Referent: Detlef GROSSVice President | Principal Auditor Digital Banking & Asset ManagementDeutsche Bank AG Group Audit,Frankfurt
Referent: Dirk KRETZSCHMARGeschäftsführerTÜViT TÜV Informationstechnik GmbH,Essen
09.45 – 10.30 Uhr
09.45 – 10.30 Uhr
Fachsitzung 1Auditing Digital Banking· Overview #DigitalBanking - What is Digital Banking? - Key Digital Trends for Financial Institutions
· Digital Banking @ Audit: - Digital Banking Audit Team – Objectives and scope - Digital Landscape - Key Digitalization Risks - Ideas for Coverage Approach - Potential Coverage Roadmap
Fachsitzung 2IT Security - Kernelemente und Lösungen von Smart Home zu Industrie 4.0· Smart Home-Geräte durchdringen unser Leben - gehen
von IoT wirklich IT-Security Bedrohungen aus?
· Was bedeutet Industrie 4.0 in der Praxis, wie kann man hier IT-Sicherheit erreichen?
· Autonomes Fahren und Car2X- Secure Elements
· Prüfungen und Cyber Security-Lösungen der TÜViT
Kaffeepause, Networking10.30 – 11.00 Uhr
4
16. Mai 20171. Veranstaltungstag
ProgrammFachsitzung 3Umsetzung von Continuous Auditing in deutschen Innenrevisionen · Continuous Auditing - Entwicklung, Methoden, Instrumente
· Bisherige Erkenntnisse zum Umsetzungsstand des Continuous Auditing
· Continuous Auditing im Audit Maturity Model nach Vasarhelyi
· Deutschland: Ausgangssituation und Hypothesen
· Vorgehensweise und gewonnene Daten
· Schlussfolgerungen
Fachsitzung 5Datenschutz & Datensicherheit (D&D) - ein ISMS für die EU-DSGVO · Die Veränderung rechtlicher Rahmenbedingungen bei D&D
· Die EU-DSGVO, Veränderungen im Datenschutz
· Was die EU-DSGVO für Ihre Anwendungen bedeutet
· Das IT-Sicherheitsgesetz in der Praxis; Ausstrahlungswirkung auf nicht-kritische Infrastrukturen
· Ganzheitlicher Ansatz Handelsrecht, Steuerrecht, ITSiG und BDSG
· Aufbau eines ISMS auch für den Datenschutz
Fachsitzung 6COBIT 5 für die IT-Prüfung nutzen · Die Bedeutung von Assurance in COBIT 5
· Das Enablerkonzept als Basis der IT-Prüfung
· Nützliche Elemente der COBIT5-Produktfamilie für die IT-Prüfung
· Umsetzungsbeispiel: Prüfung des Architekturmanagements mit COBIT 5
Referent:Johannes Martin WAGNERCISA CISM CIA CRMA Unternehmensberater,Düsseldorf Mitglied des DIIR Arbeitskreises „Continuous Auditing“, Mitglied der ISACA-Fachgruppe „Datenanalyse”
Referent:Holger KLINDWORTHPartner, Leiter Geschäftsbereich IT-RevisionEbner Stolz GmbH,Hamburg
Referent:Markus GAULKE CISA CISM CGEITSenior Manager, Prokurist Financial ServicesKPMG Wirtschaftsprüfungsgesellschaft AG,Frankfurt
11.00 – 11.45 Uhr
12.00 – 12.45 Uhr
12.00 – 12.45 Uhr
Referentin: Elisabeth OPFERMANN Senior ConsultantPricewaterhouseCoopers GmbHWirtschaftsprüfungsgesellschaft,Frankfurt
11.00 – 11.45 Uhr Fachsitzung 4Lizenzmanagement aus Sicht des Prüfers· Bedeutung des Lizenzmanagements im Unternehmen
· Prüfungsansätze zum Lizenzmanagement
· Typische Fehlerquellen bei der Prüfung des Lizenzmanagements
· Einbindung von Tools in die Prüfung
· Ausblick: Lizenzmanagement im Cloud-Umfeld
Raumwechsel11.45 – 12.00 Uhr
Mittagessen, Networking12.45 – 14.15 Uhr
5
Programm16. Mai 20171. Veranstaltungstag
Referenten: Tina TOMANNIT-Projektmanager Software-EntwicklungAudicon GmbH,Düsseldorf
Zoran JOTANOVICSales ManagerAudicon GmbH,Düsseldorf
Referenten: Stefan WAGENERManager Internal Audit Group HeadquartersRehau GmbH,Muri b. Bern
Martin RIEDLGeschäftsfüherdab: Daten – Analysen & Beratung GmbH,Deggendorf
14.15 – 15.00 Uhr
15.00 – 15.45 Uhr
Fachsitzung 7Process Mining auf dem Prüfstand · Technologische Funktionsweise von Process Mining
· Abgrenzung Process Mining von klassischer Datenanalyse
· Voraussetzungen und Einsatzszenarien von Process Mining
· Interaktive Untersuchung finanznaher Prozesse mit Process Mining
Fachsitzung 8Automatisierte SAP-Analysen in einem mittelständischen Unternehmen· Automatisierte Analysen - ab welcher Revisionsgröße sinnvoll?
· Auswahlprozess - passende Tools für automatisierte Analysen
· Implementierungspraxis - was gilt es zu beachten?
· Die Top 5 bei der Implementierung automatisierter Analysen
Kaffeepause, Networking15.45 – 16.15 Uhr
Raumwechsel
Gemeinsames Abendessen mit Gelegenheit zum Erfahrungsaustausch und Networking
17.00 - 17.15 Uhr
19.30 - 22.30 Uhr
6
16. Mai 20171. Veranstaltungstag
Programm
Fachsitzung 11ISMS - Wie sicher sind Ihre Daten?· Systematischer Prüfansatz aus Sicht interner und externer Prüfer
· Aktuelle Bedrohung Cybercrime
· Maßnahmen gegen Schatten-IT
Fachsitzung 12Aktuelle Neuigkeiten aus dem FAIT· IDW EPS 860: IT-Prüfung außerhalb der Abschlussprüfung
· Entwicklungen im Berufsstand der Wirtschaftsprüfer
· Aktuelle Arbeitsfelder des FAIT
17.15 – 18.00 Uhr
17.15 – 17.45 Uhr
Referenten:Christoph MAIER CGEITHead of Group IT AuditRaiffeisen Bank International AG,Wien
Andreas NIEDERBACHER CISASenior ManagerRisk AdvisoryDeloitte Oberösterreich Wirtschaftsprüfungs GmbH,Linz
Referenten:Holger KLINDTWORTHCISM CISA CIAMitglied des IDW FAIT,Hamburg
Referent: Dietmar GRABHER BSc MA CIA CISA CRMAWissenschaftlicher Mitarbeiter / Independent Auditor und BeraterFH Vorarlberg / MITANAND Consulting Grabher e.U.,Dornbirn
Referent: Nikolaus SCHRENKLeitung Governance Consultingkbo Kliniken des Bezirks Oberbayern,Haar bei München
16.15 – 17.00 Uhr
16.15 – 17.00 Uhr
Fachsitzung 9Blockchain-Technologie als Werkzeug von Governance und IKS: Evolution, Revolution oder Disruption?· Blockchain-Technologie in a nutshell
· Beispiele für Non-FinTech-Anwendungen aus Wissenschaft und Praxis
· Potenziale als Werkzeug von Process-Governance und IKS
Fachsitzung 10Compliance im Krisenfall – Beispiel Virenbefall Gesundheits- dienstleister· Compliance-Anforderungen
· Eintritt der Krise, Szenario Virenbefall
· Sicherheitskomitee zur Steuerung der Gegenmaßnahmen
· Kommunikations- und Entscheidungswege
· Wiederanlauf
· Rolle von Assurance- und Risikomanagement
7
Programm17. Mai 20172. Veranstaltungstag
Referent: Michael MATUSCHEKHead of SalesnovaCapta Software & Consulting GmbH,Köln
09.00 – 09.45 Uhr Fachsitzung 13Arbeitsplatz-Relevante Cloud Services im Überblick - kennen und bewerten · Übersicht: Schwerpunkte verschiedener Cloud-Anbieter
· Arbeitsplatz-relevante Microsoft Cloud Services aus Nutzersicht
· Private, Public oder Hybrid Cloud?
· Prüfungsgegenstand und Infrastruktur: Welche Services haben Relevanz für die Interne Revision?
Referent: Michael KRANAWETTERMicrosoft National Security Office/ Head of Information SecurityMicrosoft Deutschland GmbH,München
Referent: Niklas BREUERAssociate Services PartnerAPIIDA AG,Groß-Bierberau
09.45 – 10.30 Uhr
09.45 – 10.30 Uhr
Fachsitzung 15Sicherheit, Compliance, Datenschutz und Transparenz in der Cloud · Dienste-Szenarien in der Cloud- Bedrohungslage und Perspektiven
· Der Microsoft-Ansatz für sichere Cloud-Dienste - Beispiel Office 365 - Microsofts Cloud-Portfolio - Compliance, Governance, Datenschutz und Transparenz - User-zentrische Compliance bei Cloud-Services
· Handlungsfelder und -optionen für IT-Prüfer
Fachsitzung 16PAM aus Prüfersicht – Das Risiko des privilegierten Nutzers aus Sicht des Prüfers· Darstellung der Problemsituation: root/admin und Virtual/Cloud
Server Admins
· Kurze Übersicht der technologischen Ansätze: Jump-Host, Enterprise Password Vault, Access Governance
· Besondere Situation der externen administrativen Benutzer
· Welche Zugriffe lassen sich wie prüfen?
· Wo kann man welche Einstellung vornehmen?
· Wie kann gezielt bei Verdachtsmomenten analysiert werden
Referenten: Denis POLOSINRevision ITK / Audit ICT (GIT3)Deutsche Bahn AG, Berlin
Andreas ARNTZ, CIAGeschäftsführerHorizon5 GmbH,Düsseldorf
09.00 – 09.45 Uhr Fachsitzung 14Datenschutz und Datenanalyse: Wege aus dem Zielkonflikt· Zielkonflikt, Fallstricke, Folgen bei Verstößen
· Leitlinien für datenschutzkonforme Datenanalysen
· Konkrete Ausgestaltung der Prüfungsprozesse - Abstimmung mit Betriebsrat und Datenschutzbeauftragtem - Beurteilung und Genehmigung von Prüfungen mit Datenanalysen - Datenbereitstellung und Pseudonymisierung - Dokumentation
· Ausblick: Zurück zur Normalität - Datenanalyse als Standardinstrument
Kaffeepause, Networking10.30 – 11.00 Uhr
8
17. Mai 20172. Veranstaltungstag
ProgrammReferentin: Angelika JASCHOBReferat CK 32 Kritische Infrastrukturen -Grundsatz-Bundesamt für Sicherheit in der Infor-mationstechnik (BSI),Bonn
Referenten: Arndt LINGSCHEIDProduktmanagerVirtual Forge GmbH,Heidelberg
Alfonso Dobarrio BLANCOSenior Manager/ProkuristInformation Risk ManagementKPMG Wirtschaftsprüfungsgesellschaft AG,Mannheim
Referent: Torsten ENK PartnerBERLINCOUNSEL Consulting GmbH,Berlin
Referenten: Arndt LINGSCHEIDProduktmanagerVirtual Forge GmbH,Heidelberg
Alfonso Dobarrio BLANCOSenior Manager/ProkuristInformation Risk ManagementKPMG Wirtschaftsprüfungsgesellschaft AG,Mannheim
11.00 – 11.45 Uhr
11.00 – 11.45 Uhr
12.00 – 12.45 Uhr
12.00 – 12.45 Uhr
Fachsitzung 17Aktueller Sachstand der Umsetzung des IT-Sicherheitsgesetztes (IT-SIG)· Wesentliche Regelungen des IT-SIG
· Geplante Neuregelungen durch die Umsetzung der NIS-RL
· Erste Praxiserfahrungen mit branchenspezifischen Sicherheitsstandards
· Kompetenzanforderungen an interne Prüfer (zusätzliche Prüfverfah-renskompetenz § 8a BSIG)
· Beispiel für Nachweise der Umsetzung des Stands der Technik
Fachsitzung 18Ganzheitlicher Zugriffsschutz in SAP · Klartext-Daten auf Datenbankebene
· High-Level Absicherung und Kontrollmechanismen
· Bekannte und neue Sicherheitslücken
· Replace/Debugging
· Gateway Security
· Standard-User
Fachsitzung 19IKS für mittelständische Konzernunternehmen· Ausgangsituation, Herausforderung und übliche Vorgehensweisen
· Unser Ansatz: Weg vom Prozess, hin zur Kontrolle
· Einfach machen – einfach steuern
· Praxisbeispiel zur Umsetzung im Konzernverbund
Fachsitzung 20SAP-Codeprüfungen, Quellcode-Sicherheitslücken und Code-Profiler· Manuelle Prüfungen mit der ABAP Source Code Scan-Funktionalität
· Fehlende Berechtigungsprüfungen
· Authority-Checks ohne Returncode
· Tücken der manuellen Code-Prüfung
Raumwechsel11.45 - 12.00 Uhr
Mittagessen, Networking12.45 - 14.00 Uhr
9
Programm17. Mai 20172. Veranstaltungstag
Raumwechsel14.45 - 15.00 Uhr
Referent: Uwe RÜHLGeschäftsführerRUCON Management GmbH,Nürnberg
Referent: Boris GUREWITSCHWP StB CIA CISA CISMSenior ManagerEMEIA Financial ServicesErnst & Young GmbH Wirtschaftsprüfungsgesellschaft,München
14.00 – 14.45 Uhr
14.00 – 14.45 Uhr
Fachsitzung 21Cloud Information Security - ISO/IEC 27018 und ISO/IEC 27017 im Kontext der Zertifizierung eines ISMS· Herausforderungen und Risiken beim Nutzen von Cloud Services - Datenschutzanforderungen - Vertragliche Vereinbarungen mit Lieferanten - Lieferantenmanagement
· Ist Informationssicherheit für Cloud Services zertifizierbar? - Sektor-spezifische Zertifizierungen - Cloud Information Security-Zertifizierung mit ISO/IEC 27018
Fachsitzung 22Third Party Reporting: IKS-Beschreibungen und Auswertungs- techniken für IDW PS 951, ISAE3402, SOC1· Wesentliche Bestandteile der Berichterstattung nach IDW PS 951/
ISAE3402/SOC1
· Anforderungen der Standards an die IKS-Beschreibung und ihre Umsetzung in der Praxis
· Standardkonforme Formulierung der Kontrollziele und Kontrollen
· Werkzeuge und Techniken zur Auswertung der Berichte
· Umgang mit Abweichungen und Einschränkungen
· Rolle der Internen Revision bei Prüfungen nach IDW PS 951/ISAE3402/SOC1
Referent: Rainer BILLMAIERHead of Human ResourcesAceloreMittal GmbH,Neuwied
Referent: Heiko JACOBCISA IT-AuditorIDW
DirectorEMEIA Financial ServicesErnst & Young GmbHWirtschaftsprüfungsgesellschaft,Düsseldorf
15.00 – 15.45 Uhr
15.00 – 15.45 Uhr
Fachsitzung 23Reden hilft?!· Anregungen zur Kommunikation in der Prüfung
Fachsitzung 24Aktueller Stand der BAIT· Status und regulatorische Einordnung
· Erwartungen der Aufsicht an die Umsetzung
· Interpretation und Handlungsfelder
· Diskussion
Dr. Ulrich HAHNCISA CIA CCSA CRMA IRProgrammkoordination,Frankfurt/Wien/Genf
15.45 – 16.00 Uhr Schlussworte
10
Information�Tagungsdaten
Termin
Ort
Tagungsgebühr
Dienstag,�16.�Mai�2017Mittwoch,�17.�Mai�2017
Nikko�HotelImmermannstraße 4140210 DüsseldorfTelefon: +49 (0)211 834-2604Telefax: +49 (0)211 834-2703E-Mail: [email protected]
Hotelzimmer Das Nikko�Hotel�(nähere Angaben siehe oben) stellt für die Teilnehmer der Tagung ein Zimmerabrufkontingent bis zum 18. April 2017 zur Verfügung.
Einzelzimmer: 139,- € pro Übernachtung(inkl. Frühstücksbuffet im Restaurant und inkl. Mehrwertsteuer)
Bitte reservieren Sie Ihr Zimmer direkt beim Hotel mit der Kennung „DIIR IT-Tagung 2017“
Telefon: +49 (0)211 834-2604Telefax: +49 (0)211 834-2703E-Mail: [email protected]
Die o. a. Hotelkosten sind nicht in der Tagungsgebühr enthalten.Sie werden Ihnen vom Hotel direkt in Rechnung gestellt.
Das�DIIR�–�Deutsches�Institut�für�Interne�Revision�e.V.�nimmt�keineHotelzimmerreservierungen�an.
Frühbucherpreis bis zum 21. April 2017Für Mitglieder € 860,-des DIIR – Deutsches Institut für Interne Revision e.V.und des ISACA Germany Chapter e.V.
Für Nichtmitglieder € 900,-
Für Mitglieder� € 910,–des DIIR – Deutsches Institut für Interne Revision e.V.und des ISACA Germany Chapter e.V.
Für Nichtmitglieder € 950,–
Inklusive ist ein Mittagessen (Dienstag), ein Abendessen (Dienstag), ein Mittag- essen (Mittwoch), Pausengetränke und Tagungsunterlagen.
Die�Teilnehmergebühr�wird�fällig�nach�Erhalt�der�Anmeldebestätigung��und�Rechnung,�spätestens�am�Tag�des�Tagungsbeginns.
Bitte geben Sie bei der Anmeldung Ihre USt.-Id.-Nr. (nur für Staaten der EU) bzw. Ihre Steuernummer und das Finanzamt (nur für Drittstaaten) an. Vielen Dank.
11
Information�Tagungsdaten
Teilnahmebedingungen
Auskünfte�undAnmeldung
Anmeldungen�müssen�schriftlich�(d.�h.�auch�per�Fax�oder�E-Mail)�erfolgen�und�werden�in�der�Reihenfolge�des�Eingangs�gebucht.�
Tagungsanmeldungen können nur schriftlich (d.h. auch per Fax oder E-Mail) zurückgezogen werden. Erfolgt die schriftliche Stornierung inner-halb von 4 Wochen vor Tagungsbeginn, müssen wir eine Stornogebühr von 20 % der Teilnehmergebühr berechnen. Ist eine schriftliche Stornie-rung nicht spätestens 14 Tage vor Tagungsbeginn beim DIIR eingegangen oder erscheint ein angemeldeter Teilnehmer/Ersatzteilnehmer nicht zur Tagung, wird die volle Teilnehmergebühr fällig.
Das DIIR behält sich vor, bei zu geringer Teilnehmerzahl oder aus anderen dringenden Gründen die angekündigte Tagung abzusagen. Es ist dann verpflichtet, die bereits entrichtete Teilnehmergebühr ohne Abzug zu erstatten. Ein weitergehender Schadensersatzanspruch ist ausgeschlossen. Mit der Anmeldung werden diese Teilnahmebedingungen anerkannt.
DIIR�–�Deutsches�Institut�für�Interne�Revision�e.V.Theodor-Heuss-Allee 108 · 60486 Frankfurt am MainTelefon: +49 (0) 69 713769-15 · Telefax: +49 (0) 69 713769-69E-Mail: [email protected] · Internet: www.diir.de
Bitte�benutzen�Sie�das�beigefügte�Anmeldeformular
Hinweis Es werden 15�Stunden�CPE für regelmäßige fachliche Weiterbildung anerkannt.
Deutsches Institut fürInterne Revision e.V.
Deutsches Institut fürInterne Revision e.V.
Theodor-Heuss-Allee 10860486 Frankfurt am MainTelefon +49 (0)69 713769-15Fax +49 (0)69 [email protected]
