IT Compliance

Krisenmanagement, was bedeutet das für ein Unternehmen im 21. Jahrhundert? (Teil 3/4)

Dieser Artikel wird in vier Teilen präsentiert und wird Ihnen einen schnellen, vereinfachten und vor allem verständlichen Einblick in eine durchaus sehr komplexe und überaus umfangreiche Thematik geben.

Teil 1    BCM – Ein Einblick

Teil 2    BCM – Nur ein weiterer Begriff im Unternehmen

Teil 3    BCM – Vorschlag zum Vorgehen für die Implementierung

Teil 4    BCM – Die Kontrolle behalten

 

BCM – Vorschlag zum Vorgehen für die Implementierung

Prozess zur Erstellung eines Business Continuity Management       

Das Business Continuity Institute stellt mit dem Standard BS 25999 als auch das BSI mit dem BSI-GSHB 100-4 eine Vorgehensweise vor, welche ein entsprechendes Detaillevel widergibt.

Die stark vereinfachte Vorgehensweise der unternehmensweiten Implementierung eines BCM kann aber auch anhand der in der nachfolgenden Grafik skizzierten Schritte nachvollzogen werden. 

Krisenmanagement, was bedeutet das für ein Unternehmen im 21. Jahrhundert? (Teil 2/4)

                                   

Dieser Artikel wird in vier Teilen präsentiert und wird Ihnen einen schnellen, vereinfachten und vor allem verständlichen Einblick in eine durchaus sehr komplexe und überaus umfangreiche Thematik geben.

Teil 1    BCM – Ein Einblick

Teil 2    BCM – Nur ein weiterer Begriff im Unternehmen

Teil 3    BCM – Vorschlag zum Vorgehen für die Implementierung

Teil 4    BCM – Die Kontrolle behalten    

 

BCM – Nur ein weiterer Begriff im Unternehmen?
 

Business Continuity Management (BCM) – eine Definition

Unter dem Begriff "BCM" werden alle notwendigen ablauf- und aufbauorganisatorischen Maßnahmen subsumiert, welche den Fortbestand eines Unternehmens in einer Krisen- oder Katastrophensituation sicherstellen sollen: von der Analyse über die Planung, das Krisenmanagement und die Dokumentation bis hin zu entsprechenden Übungsabläufen.

                                                                       „Das Ganze ist mehr als die Summe seiner Teile“
                                                                                   (Aristoteles, 384-322 v.Chr.)

Krisenmanagement, was bedeutet das für ein Unternehmen im 21. Jahrhundert? (Teil 1/4)

Krisenmanagement im 21. Jahrhundert: In diesem und drei weiteren Teilen unserer Serie erläutern wir Ihnen zusammengefasst, vereinfacht und vor allem verständlich, wie Krisenmanagement in Ihrem Unternehmen gelingen kann.

Die Wirksamkeit des internen Kontrollsystems

bildBei der Implementierung und Prüfung des internen Kontrollsystems stellt sich immer wieder die Frage nach der Wirksamkeit, die zu beurteilen ist. Auch der aktuelle Gesetzestext im HGB, AktG und diversen anderen Gesetzestexten impliziert, dass sich Unternehmen mit der Wirksamkeit des IKS befassen müssen.

An sich ist die Beurteilung der "Wirksamkeit" des internen Kontrollsystems eine einfache Anforderung, die aber schnell komplex wird, wenn man sich mit der Frage im Detail beschäftigt. Oft sucht man ein klares "Ja" oder ein klares "Nein", was in einem komplexen Umfeld nach objektiven Kriterien kaum entschieden werden kann.

Der Begriff der Wirksamkeit wird unterschiedlich definiert.

Warum ein Notfallhandbuch und Business Continuity Management?

zur Präsentation "Erfolg des Risk- und Notfallmanagements in Ihrem Unternehmen"

Unternehmen haben in den letzten Jahrzehnten die Hauptlast der Informationsverarbeitung auf die elektronische Datenverarbeitung übertragen, was zu einer deutlichen Abhängigkeit vom „Funktionieren“ dieser Prozesse führte.

Es gibt zum einen rechtliche Aspekte, die in diesem Zusammenhang zu berück­sichtigen sind, wobei Unterschiede sowohl aufgrund der Rechtsform der Gesellschaft als auch der Branche, in der das Unternehmen tätig ist, sowie dem Umstand, ob das Eigentum in öffentlich-rechtli­cher oder privater Hand liegt, bestehen können. Zum anderen ist es der gesunde Menschen­verstand, der die verantwortliche Unternehmensleitung dazu bewegen sollte, von sich aus entsprechende Vorkehrungen zu treffen, damit der Fortbestand des Unternehmens nicht ge­fährdet wird bzw. ist.

Im Nachfolgenden werden wir im Wesentlichen auf die Belange der Gesellschaften in privater Hand eingehen.

PS 951, SSAE16, ISAE 3402 Beratung

FlugzeugDen Reaktionen unserer Leser und den Reports der Nutzung unserer Website entnehmen wir, dass das Thema PS 951, SSAE 16, ISAE 3402 und der (inzwischen veraltete) Standard SAS 70 derzeit viele Unternehmen beschäftigt.

Gleichzeitig besteht offenbar ein großer Informationsbedarf, der theoretisch zwar gut gedeckt werden kann; wenn es aber um Praxiserfahrungen geht, versiegen die Informationsquellen schnell. Es stellen sich viele Fragen, wie beispielsweise:

  • Wie bereite ich mich vor?
  • Welche Dokumentation brauche ich?
  • Was steht in dem Bericht?
  • Welche Bereiche sind betroffen?
  • Was kostet so etwas?
  • Womit kann ich als Kunde rechnen, wenn mein Dienstleister mir einen PS-951-Bericht ankündigt?

Rufen Sie uns einfach unter 06103 37696 0 an oder senden uns eine E-Mail. Wir melden uns umgehend bei Ihnen und vermitteln den Kontakt zur kurzfristigen Terminabsprache.

Scope von PS 951 und SAS 70

Bei der Vorbereitung einer Prüfung nach den Standards PS 951 bzw. SAS 70 stellt sich immer wieder die Frage nach dem sogenannten "Scope".

Welche Prozesse und Kontrollen beim Dienstleister sind Bestandteil der Prüfung?

Das mag bei manuellen Prozessen noch einfach abgrenzbar sein, spätestens bei komplexen IT-Dienstleistungen ist diese Abgrenzung jedoch ein teilweise schwieriges Unterfangen.

Grundsätzlich sollte man sich hier vom Ziel der Prüfung und Berichterstattung leiten lassen. Üblicherweise ist das Ziel, dem Abschlussprüfer des Auftraggebers einen Einblick in die für ihn relevanten Bestandteile des internen Kontrollsystems des Dienstleisters zu verschaffen. Konkret wird dargestellt, wie das interne Kontrollsystem aufgebaut ist und ob es (soweit eine entsprechende Prüfung Typ "B" bzw. Type "II" durchgeführt wird) auch tatsächlich wirksam ist.

Der Abschlussprüfer hat nun die Aufgabe den Jahresabschluss und seine Bestandteile des Auftraggebers zu prüfen und zu beurteilen und insofern ist in den Prüfungsumfang alles einzubeziehen, was einen Einfluss auf die Ordnungsmäßigkeit (z.B. Vollständigkeit, Richtigkeit, Autorisierung, Zeitgerechtheit, Nachweisbarkeit) der Rechnungslegung des Auftraggebers haben könnte.

Es mag hier im Einzelfall Ausnahmen geben, aber die Prüfungsstandards selbst sehen vor, dass der Service-Auditor eine entsprechende Einschätzung vornimmt.

Insofern muss eine Dienstleistungsorganisation vor Beginn der Prüfung ein klares Bild über den "Scope" haben, also in der Lage sein, zu definieren, was in die Prüfung einzubeziehen ist. In komplexen IT-Landschaften kann dies eine wahre Herausforderung sein.

GDPdU und Datenverarbeitung im Ausland... der Tiger bekommt Zähne

Bei der Einführung des § 147 Abs. 6 der Abgabenordnung (hier) wurden keine besonderen Maßnahmen definiert, falls Steuerpflichtige den Verpflichtungen der GDPdU nicht nachkommt. Insofern konnten ausschließlich die bisherigen Sanktionen verhängt werden, von denen sicher die Schätzung am schwersten wiegt.

Buchführung ins Ausland verlagern - das Jahressteuergesetz 2009 machts möglich

EU FlaggeMit dem Jahressteuergesetz 2009 haben im § 146 der Abgabenordnung die Absätze 2a und 2b Einzug gehalten. Diese ermöglichen dem Steuerpflichtigen unter bestimmten Bedingungen ab sofort eine Auslagerung/Outsourcing der elektronischen Buchführung und sonst erforderlichen Aufzeichnungen in Mitgliedstaaten der Europäischen Union bzw. in Drittstaaten, soweit diese bestimmte Vereinbarungen mit der Bundesrepublik Deutschland abgeschlossen haben. Im Grundsatz geht es natürlich um die Durchführbarkeit des Besteuerungsverfahrens und darum, Steuerpflichtige, die vom Recht der Auslagerung keinen Gebrauch machen, nicht zu benachteiligen.

Der Beitrag externer Partner im BCM

Im Zuge der Überlegung, welche Maßnahmen für die Compliance zu ergreifen sind, rückt zwangsläufig früher oder später der Aspekt des Business Continuity Management in den Fokus. Nicht nur einschlägige Anforderungen an die IT fordern dies (siehe beispielsweise hier), sondern es ist auch als risikokompensierende Maßnahme ein notwendiges Werkzeug. Der Autor dieses Beitrags stellt und beantwortet diese Frage:


Wie können externe Partner zum Erfolg des Risk- und Business Continuity Management in Ihrem Unternehmen beitragen?

Häufig stellt sich für Unternehmen die konkrete Frage, wie externe Berater sie bei der Einführung eines angemessenen Risk- und Business Continuity Management unterstützen können. In der Regel steht bei dieser Fragestellung immer der Kostenaspekt mit einem alles überragenden Gewicht im Vordergrund. Die aus einer externen Unterstützung resultierenden Vorteile werden demgegenüber in der Betrachtungsweise allzu häufig besonders stark und gerne vernachlässigt.

Seiten