06.06.2014

1

Integration von Risikomanagement & interne Kontrollsysteme

Kurt BertholdTA Triumph-Adler GmbH

www.ecm-world.com 2

Agenda

Einleitung

Vorgangsweise und Methodik

Begriffe

ERM Rahmenbedingungen

Integrationsmodell

Evaluierung

Zusammenfassung, Fazit und Ausblick

www.ecm-world.com

06.06.2014

2

www.ecm-world.com 3

HerausforderungenFr Unternehmen gehobene Marktansprche verstrkte Konkurrenzsituationen hohe Erwartungen der Shareholder komplexe Geschftsmodelle

Die Erreichung oder Absicherung der Planziele wird schwieriger

strukturiertes Risikomanagement - ein unverzichtbares Instrument Internes Kontrollsystem (IKS) zur Steuerung der Risiken Enterprise Risk Management fr die ganzheitliche Unternehmenssteuerung

1Einleitung

www.ecm-world.com 4

ErkenntnisfortschrittAllgemeingltiges Integrationsmodell fr RM und IKS

Auf Organisationsebene werden Risikomanagement und IKS-Rollen direkt miteinander verknpft.

Auf Prozessebene werden konkrete Risiken durch IKS-Prozesse gesteuert (Mapping zwischen Risiken und Kontrollen).

Artefakte aus beiden Bereichen werden miteinander in Verbindung gebracht.

Umsetzende IT-Systeme fr Risikomanagement und IKS werden integriert.

Das Vorgehensmodell zeigt die konkrete Umsetzung des Integrationsmodells, um den nach COSO vorgegebenen Idealzustand in der operationellen Umsetzung zu erreichen.

Einleitung

www.ecm-world.comwww.ecm-world.com

06.06.2014

3

www.ecm-world.com 5

Agenda

Einleitung

Vorgangsweise und Methodik

Begriffe

ERM Rahmenbedingungen

Integrationsmodell

Evaluierung

Zusammenfassung, Fazit und Ausblick

www.ecm-world.com 6

Zustzliche Ebene eingefgt Artefakte (elektronische Dokumente in unterschiedlichen Formen)

Gewhltes Rahmenwerk fr Integrations-und Vorgehensmodell

Semantisches Objektmodell (SOM)COSO

SOM [FeSi95]Methodik zur Modellierung betrieblicher Systeme COSO [COSO04]

Vorgangsweise und Methodik

www.ecm-world.comwww.ecm-world.com

06.06.2014

4

www.ecm-world.com 7

Agenda

Einleitung

Vorgangsweise und Methodik

Begriffe

ERM Rahmenbedingungen

Integrationsmodell

Evaluierung

Zusammenfassung, Fazit und Ausblick

www.ecm-world.com 8

ERM-BegriffsdefinitionenBegriffe

Quelle: eigene Darstellung in Anlehnung an [GRC13]

www.ecm-world.comwww.ecm-world.com

06.06.2014

5

www.ecm-world.com 9

Agenda

Einleitung

Vorgangsweise und Methodik

Begriffe

ERM Rahmenbedingungen

Integrationsmodell

Evaluierung

Zusammenfassung, Fazit und Ausblick

www.ecm-world.com 10

Gesetzliche VorgabenERM Rahmen-bedingungen

Deutschland USA / Europa / sterreich

www.ecm-world.comwww.ecm-world.com

06.06.2014

6

www.ecm-world.com 11

Rahmenwerke und Normen

Rahmenwerke COSO COBIT (Version 4.1 fr das Mapping herangezogen) [COB12],

[COB07] ITIL [ITIL07]

Normen ISO/IEC 27001/2:2005 [ISO05] ISO/IEC 27005:2008 [ISO08] ISO 31000:2009 - Risiko Management [ISO09]

ERM Rahmen-bedingungen

www.ecm-world.com 12

Agenda

Einleitung

Vorgangsweise und Methodik

Begriffe

ERM Rahmenbedingungen

Integrationsmodell

Evaluierung

Zusammenfassung, Fazit und Ausblick

www.ecm-world.comwww.ecm-world.com

06.06.2014

7

www.ecm-world.com 13

Grobe Modellansicht

Darstellung der Integration auf vier Ebenen

Mapping RM / IKS Mapping Integrationsmodell /

SOM

Integrationsmodell

www.ecm-world.com 14

Ebene Organisation (COSO)Integrationsmodell

1. Schritt: Erhebung der Rollen in COSO (Auszug)

www.ecm-world.comwww.ecm-world.com

06.06.2014

8

www.ecm-world.com 15

Ebene Organisation (COBIT)Integrationsmodell

verteilte VerantwortungCOSO-MappingIKS

Designierte Rolle bearbeitet die Aufgabe gemeinsam mit:

(als Aufschlsse zur Prozessbildung)

verteilte VerantwortungCOSO-Mapping

Rolle Hauptaufgaben und Verantwortlichkeiten (Prozesse) #

Dom

ne

Pro

zess

ber

wac

hung

(R

olle

)

Kon

troll

umge

bung

Ris

iko

Beu

rteilu

ng

Kon

troll

Akt

ivit

ten

Info

rmat

ion

Kom

mun

ikat

ion

Mon

itorin

g

Wic

htig

keit

Aufsichtsrat (AR) Wahrnehmung von berwachungsaktivitten des CEO CO.1 ME 1-4 P S P S P H

Vorstand oder Geschftsfhrung (CEO) Entwicklung von Vertrgen, welche das Interesse den Unternehmens schtzen CO.2 AI 5 CIO P MErmglichung der Aufsichtsttigkeiten durch den Aufsichtsrat CO.3 ME 4 AR P S S P Hberwachung der IT-Performance, Ressourcen und RM im Einklang mit der Unternehmensstrategie CO.4 ME 4 AR P S S P HPeriodische Beauftragung von externen Audits zur Beurteilung der Performance und Compliance CO.5 ME 4 AR P S S P HUmsetzung der Beobachtungen und Empfehlungen der externen Audits CO.6 ME 4 AR P S S P HErstellung eines IT-Governance Reports CO.7 ME 4 AR P S S P H CIO

Leitung Finanzen (CFO) Pflege des Programmportfolios CO.8 PO 5 CEO S P M CIO BPEEntwicklung eines allgemeinen Monitoring Ansatzes CO.9 ME 1 CEO S P H

Business Process Executive (BPE) Identifizierung der kritischen Abhngigkeiten und Performance CO.10 PO 1 CIO P S S HSenior Management Pflege des Programmportfolios CO.8 PO 5 CEO S P M CFO CIO

Berichterstattung ber die IT-Performance CO.11 ME 1 CIO S P H

Leitung Informatik (CIO) Verlinkung der Kerngeschftsziele mit IT Zielen CO.12 PO 1 BPE P S S HErstellung eines strategischen IT-Plans CO.13 PO 1 CEO P S S HPflege des Programmportfolios CO.8 PO 5 CEO S P M CFO BPEDefinition, Erstellung und Aufrechterhaltung eines Qualittsmanagementsystems CO.14 PO 8 CIO P P S P HErstellung und Kommunikation eines Qualittsstandards CO.15 PO 8 CIO P P S P HErstellung und Management eines Qualittsplans fr kontinuierliche Verbesserung CO.16 PO 8 CIO P P S P HMessung, berwachung und berprfung der Compliance mit Qualittszielen CO.17 PO 8 CIO P P S P HUnterhaltung und berwachung eines Risikomanahmenplans CO.18 PO 9 CEO P HDefinition eines Portfolio- und Programmmanagement Rahmenwerks fr IT-Investitionen CO.19 PO 10 BPO S S P S HIdentifikation, Dokumentation und Analyse von Geschftsprozessrisiken CO.20 AI 1 BPO P M BPO LB LE PMOberwachung der Service Leistungen von externen Partnern CO.21 DS 2 BPO P S P S NErstellung einen Ansatzes zur berwachung von IT-Risiken CO.22 ME 1 CEO S P HIT-Performance, IT-Strategie, Ressourcen und RM in Einklang mit der Geschftsstrategie bringen CO.23 ME 4 AR P S S P HErstellung eines IT-Governance Reports CO.7 ME 4 AR P S S P H CEO

Business Process Owner (BPO) Analyse des Programm Portfolios und Management des Projekt -und Service Portfolios CO.24 PO 1 CIO P S S H LB LEFach- und Hilfspersonal Priorisierung und Planung von Kontrollttigkeiten CO.25 PO 9 CIO/BPE P Hmit oder ohne Fhrungsaufgaben Sicherstellung eines Budgets fr Risikomanahmenplne CO.26 PO 9 CFO/BPE P H

Aufrechterhaltung und berwachung des Risikomanahmenplans CO.27 PO 9 CEO P H CRSAIdentifikation, Dokumentation und Analyse von Geschftsprozessrisiken CO.20 AI 1 BPO P M CIO LB LE PMOSpezifikation von Anwendungskontrollen innerhalb des Designs CO.28 AI 2 LE P M PMOBewertung der Auswirkung und Priorisierung von Changes CO.29 AI 6 LB S P S H LE PMOPlanung und Durchfhrung von IT-Kontinuittstrainings CO.30 DS 4 LB S P S MBeurteilung und Verbesserung der Performance CO.31 ME 1 CIO S P H LB LE

Designierte Rolle bearbeitet die Aufgabe gemeinsam mit:

(als Aufschlsse zur Prozessbildung)

2. Schritt: Erhebung der Rollen in COBIT (Auszug)

www.ecm-world.com 16

Ebene Organisation (gesamt)Integrationsmodell

3. Schritt: Zusammenfassung der Rollen

4. Schritt: berleitung, Generalisierung und Modellierung

CO

SO

CO

BIT

MaR

isk

ER

M

IKS

AufsichtsratVorstand oder Geschftsfhrung (CEO)Leitung Finanzen (CFO)Senior ManagementFhrungskrfte im Finanz- und RechnungswesenRisk Officer (CRO)Interne RevisionSonstiges PersonalLeitung Informatik (CIO)Business Process OwnerLeitung IT-Betrieb (LB)Leitung IT-Architektur (LA)Leitung IT-Entwicklung (LE)Leitung IT-Administration (LAD)Projektbro (PMO)Compliance, Risk, Security und Audit (CRSA)Problem Management (PM)Configuration Management (CM) 1)

Problem Management (PM) 1)

RisikocontrollingRisk OwnerKontrollprozess VerantwortlicheKontrollprozess Durchfhrende1) diese Rollen nehmen nur wenige Aufgaben wahr und werden im Integrationsmodell nicht dargestellt

Rolle ist definiert in:

www.ecm-world.comwww.ecm-world.com

06.06.2014

9

www.ecm-world.com 17

Ebene Prozesse, Systeme, ArtefakteIntegrationsmodell

COSO ISO/IEC 27001 ISO/IEC 27005 MaRisk COBIT

Prozess Phase Prozess Anforderung DomneProzess Artefakt System Artefakt System

1 Risikomanagement Philosophie entwickeln Interne allgemeine Richtlinie Textverarbeitung AuswertungPersonal UmfrageergebnisBusiness IntelligenceTabellenkalkulationWeb Anwendung

2 Grenzen des Anwendungsbereiches definieren (Kontext festlegen) PLAN Interne allgemeine Richtlinie Textverarbeitung AuswertungPersonal UmfrageergebnisBusiness IntelligenceTabellenkalkulationWeb Anwendung

a Allgemeine ERM-Leitlinie definieren PLAN Interne allgemeine Richtlinie Textverarbeitung AuswertungPersonal Umfrageergebnis

Business IntelligenceTabellenka