0
0

IT Compliance mit IKS, ISAE 3402 und SOC

Regulierungsstandards und IKS-Einführung

Home > Schulung > Compliance > IT Compliance mit IKS, ISAE 3402 & SOC

IT Governance & Compliance

Interne Kontrollsysteme, ISAE 3402, PCAOB-Standard, SOC-Reports und Outsourcing. Die eintägige Schulung IT Compliance mit IKS, ISAE3402 & SOC verschafft dir Klarheit im Schlagwort-Dschungel der IT-Compliance. Über die theoretischen Grundlagen hinaus zeigen wir dir in diesem Kurs wie die Einführung eines internen Kontrollsystems in der Praxis aussieht.

Wir gehen in dieser Schulung außerdem auf SOX ein: SOX steht für den Sarbanes-Oxley Act, ein Gesetz, das 2002 in den USA verabschiedet wurde. Es gilt für Unternehmen, deren Wertpapiere in den USA gehandelt werden und soll die Anleger schützen. Es fordert unabhängige, genaue Prüfungsberichte von den Unternehmen. In diesem Kurs zeigen wir dir, was es bedarf, um SOX-konform zu werden.

Für wen eignet sich die IT-Compliance Schulung?

Diese Schulung ist das Richtige für dich, wenn du für den Bereich Sicherheit, Risiko oder Datenschutz/Compliance zuständig bist. Auch als Führungskraft ist diese Schulung das Richtige für dich, sofern du an Verwaltung und/oder Management von Informationssystemen beteiligt bist. Mögliche Rollen können sein: IT Management, IT Governance, CIO, IT Consultant, Interne Revision, Betreibenden des IKS, Auditoren und Assessoren, IT-Leiter, Qualitätsmanager in der IT, Verantwortlicher im IT-Betrieb, Verantwortlicher bei IT-Dienstleistern.

Wer sich breiter zum Thema Compliance in der Organisation aufstellen möchten, denen empfehlen wir die zweistufige Ausbildung zum Compliance Officer.

Welchen Nutzen ziehe ich aus dieser Schulung?

Nach dieser Schulung weißt du, wie du Compliance im IT-Bereich umsetzen und dabei u.a. den Anforderungen aus SOX entsprechen kannst.

Profitiere von unserem 10% Angebot!

Bild Kollegenrabatt

IT Compliance mit IKS, ISAE 3402 & SOC

Die Schulung „Interne Kontrollsysteme, ISAE 3402, SOC-Reports und Outsourcing – Klarheit im Schlagwort-Dschungel der IT-Compliance“ vermittelt die Grundlagen für die Umsetzung von Compliance im IT-Bereich unter der Beachtung der Anforderungen aus dem Sarbanes Oxley Act und anderen Regelwerken für IT Compliance. Insbesondere durch die Anwendung des Service Management Frameworks ITIL und des IT-Governance-Frameworks COBIT. Ergänzend zur Theorie erläutern wir dir die typischen Projektvorgehensweisen anhand unterschiedlicher Praxisbeispiele.

  • Der Trainer ist Experte für IT-Compliance
  • Enger Praxisbezug
  • Teilnehmerpaket mit Unterlagen
  • Verpflegung während des Trainings
  • ÖPNV-Tickets für München
€ 590,- zzgl. Mwst.
  1. Termine
  2. Inhalte
  3. Zertifizierung
  4. Voraussetzungen
  5. Inhouse
  6. Flyer
Termin Termingarantie Ort Preis* Prüfung*
Derzeit sind keine öffentlichen Termine verfügbar.
Fragen Sie ein Inhouse-Angebot an!
*Nettopreise **optional

IT Compliance mit IKS, ISAE 3402 & SOC

Inhalt der Schulung

  • Eine Welt in Unordnung
  • Ordnung durch Regulierung
  • ITIL und COBIT – starke Grundlagen
  • PCAOB Auditing Standard Nr. 2201 (AS 2201)
  • COSO und COBIT 5
  • IT General Controls und Application Controls
  • SOX Compliance und Outsourcing: SSAE 18 SOC 1 und ISAE3402
  • Einführung eines Kontrollsystems, Praxis und Erfahrungen

Zielgruppe

Die Zielgruppe dieser Schulung sind Personen, die im Bereich IT-Compliance tätig sind oder sein werden, z. B.

  • IT-Compliance-Beauftragte
  • IT-Sicherheitsbeauftragte
  • IT-Auditoren
  • interne und externe Revisoren
  • IT-Controller
  • IT-Manager
  • IT-Consultants
  • IT-Projektleiter

Nutzen der Schulung

  • Erwerb von Kenntnissen und Fähigkeiten zur Erfüllung von IT Compliance Anforderungen
  • Besseres Verständnis für IT Risiken und deren Minimierung
  • Verbesserung der IT Governance und Prozessoptimierung
  • Erfüllung von Anforderungen von Geschäftspartnern und Kunden
  • Verbesserung der Reputation durch Einhaltung von Compliance Standards
  • Vorbereitung auf externe Auditierungen durch Dritte
  • Risikoreduzierung und Verbesserung der IT Sicherheit durch Umsetzung von IKS und SOC-Kontrollen

Agenda

  1. Tag: 09:00 bis ca. 16:30 Uhr

Kernpunkte der Schulung

  • Grundlagen und Begrifflichkeiten der IT-Compliance
  • Definition und Anwendungsbereiche von IKS, ISAE 3402 und SOC
  • Anforderungen an das interne Kontrollsystem (IKS)
  • Implementierung von IKS in der IT-Infrastruktur
  • Anforderungen an den IT-Betrieb und IT-Sicherheit im Kontext von IKS
  • Erstellung von IT-Kontrollberichten (ISAE 3402 und SOC 1,2,3 Reports)
  • Unterschiede und Gemeinsamkeiten von ISAE 3402 und SOC
  • Auswirkungen von IKS und ISAE 3402 auf Unternehmen und Geschäftspartner
  • Prüfung der IT-Compliance durch Dritte (Audits)
  • Bewertung der IT-Sicherheit und -Compliance durch den Auftraggeber
  • Compliance-Management-Systeme (CMS) und deren Implementierung
  • Risikomanagement und Compliance-Management in der IT
  • Datenschutz und IT-Compliance
  • Zusammenarbeit zwischen IT-Abteilung und Compliance-Beauftragten
  • Erfolgsfaktoren für eine erfolgreiche Umsetzung von IT-Compliance und IKS

Für diesen Kurs gibt es keine Zertifizierungsmöglichkeit. Personenzertifizierungen im Bereich COBIT findest du hier.

Teilnahmevoraussetzungen gibt es keine. Allerdings ist es von Vorteil, wenn du bereits von COBIT und den Vorgaben an ein Internes Kontrollsystem gehört hast, um im Kurs „IT Compliance mit IKS, ISAE3402 & SOC“ (früher Cobit for SOX) daran anknüpfen zu können.

Gerne kommen wir mit unserer IT Compliance mit IKS, ISAE 3402 & SOC Schulung auch in dein Unternehmen. Stelle einfach eine unverbindliche Anfrage über unser Inhouse-Formular.

Inhouse-Schulung auch als Online Live Training

Ganz gleich wo deine Mitarbeiter sich befinden, ob am Arbeitsplatz oder im Homeoffice, sie können von dort aus online an einer vollwertigen Firmen-Inhouse-Schulung teilnehmen. Unsere erfahrenen Trainer präsentieren dabei denselben Stoff wie bei einer Präsenz-Schulung und stehen währenddessen auch für die Fragen der Teilnehmer zur Verfügung. Nebenbei sparst du dir die Reisekosten für den Trainer.

Wir gehen auf deine Wünsche ein

Hast du besondere Interessen? Willst du bei einer Firmenschulung gezielt Schwerpunkte setzen? Wir richten uns gerne nach deinen individuellen Anforderungen.

Experten aus der Praxis

Alle unsere Trainer sind zertifizierte Experten auf ihren Gebieten und darüber hinaus als Berater vor Ort bei unseren Kunden im Einsatz. Dadurch kennen sie ihre Lehrinhalte aus der Praxis und können diese verständlich weitergeben. Für uns genauso wichtig wie die Fachkompetenz ist dabei die inspirierende Vermittlung des Wissens.

Inhouse-Streifenkarte

Alternativ zu den Inhouse-Schulungen hast du die Möglichkeit, deine Mitarbeiter mit eine Streifenkarte in unsere öffentlichen Schulungen zu schicken. Eine Streifenkarte gilt für den Seminarbesuch von bis zu 10 Teilnehmern, wodurch du einen deutlichen Preisvorteil gegenüber Einzelbuchungen der Mitarbeiter erhältst. Mehr Infos dazu findest du hier: Inhouse-Streifenkarte

Schulungs-Flyer zum Download

mITSM - IT Compliance - Schulung & Zertifizierung

?

FAQ - Fragen und Antworten zu COBIT und SOX

  • Was ist "SOX"?

    Der Sarbanes Oxley Act von 2002 zählt zu den tiefgreifendsten US-amerikanischen Gesetzen zum Anlegerschutz. Erlassen wurde er in Folge der gravierenden Kursverluste durch den Zusammenbruch einstiger Börsenstars wie Enron oder Worldcom. Das Gesetz verankert weitreichende Haftungsbestimmungen für das COBIT-Management in Bezug auf die Einrichtung und Prüfung interner Kontrollsysteme zur Sicherstellung der Richtigkeit der Finanzberichterstattung. Darüberhinaus werden die Haftungsbestimmungen auf den unabhängigen Wirtschaftsprüfer ausgedehnt. Sie wirken bis in verbundene Unternehmensteile und genutzte Service-Provider hinein. Der Sarbanes Oxley Act gilt für alle Unternehmen, die an US-amerikanischen Handelsplätzen notiert sind.

  • Welche Anforderungen haben europäische IT-Dienstleister in Zusammenhang mit SOX?

    Die Gültigkeit des Sarbanes Oxley Acts erstreckt sich auf alle Firmen, deren Aktien an US-Börsen oder außerbörslich in den USA gehandelt oder angeboten werden und die der Aufsicht der Securities and Exchange Commission (SEC) unterstehen. Das trifft auch zu auch auf

    – europäische Unternehmen, wenn diese an US Börsenplätzen notiert sind und
    – Organisationen, die als Service Provider Dienstleistungen für solche Unternehmen erbringen.

    In letzterem Fall gelten die Anforderungen nur für die erbrachten Leistungen und nicht für den Dienstleister als solchen. In der Regel können Dienstleister von ihren Kunden dazu aufgefordert werden, die SOX-Konformität der von ihnen verantworteten Prozesse nachzuweisen, oder ein diesbezügliches Audit im Auftrag der Kunden zuzulassen. SOX-konform sind Prozesse und Dienstleistungen dabei genau dann, wenn für die Finanzberichterstattung relevante Risiken (Falschaussagen, Unvollständigkeit, etc) durch die Dokumentation und Implementierung geeigneter Kontrollen minimiert werden. Und wenn deren Effektivität durch Tests in Bezug auf Kontrolldesign und operative Durchführung belegt werden kann. Der Prüfungsbericht ISAE 3402- Typ II eines externen Wirtschaftsprüfers gilt in aller Regel als geeigneter Nachweis der SOX-Konformität eines IT-Dienstleisters, dessen Dienste von US-börsennotierten Unternehmen in Anspruch genommen werden.

  • Was ist ein ISAE-3402 Bericht?

    Der Statement on Auditing Standard (ISAE 3402) ist ein vom PCAOB (Public Company Accounting Oversight Board) herausgegebener Prüfungsstandard. Seine praktische Bedeutung liegt vor allem darin, dass ein entsprechender Prüfungsbericht als geeigneter Nachweis für die SOX-konforme Leistungserbringung eines IT Service Providers angesehen wird. Man unterscheidet dabei den Typ-I- und den Typ-II-Nachweis. Nur der letztgenannte gilt als ausreichend in Bezug auf SOX. Denn ein ISAE 3402-Typ-II-„Zertifikat“ beschränkt sich nicht auf die Dokumentation bestimmter Verfahrenskontrollen durch den Dienstleister selbst (Typ-I). Er schließt auch eine Bestätigung über deren Effektivität durch einen externen Wirtschaftsprüfer ein, dessen Bericht auf einem Testing derselben basiert.

  • Was ist "Euro-SOX"?

    Auch in Europa haben die Auswirkungen der Börsenturbulenzen des Jahres 2001 und entsprechende Gesetzesinitiativen in den USA zu ähnlich gelagerten Gesetzesvorhaben geführt. Im Zuge der EU-weiten Rechtsharmonisierung wurde dazu die EU Richtlinie zum Thema „Abschlussprüfungen von Jahresabschlüssen“ (2006/43/EG bzw. 2008/30/EG „Änderung der Richtlinie 2006/43/EG“) verabschiedet. Sie präzisiert die bisherigen Vorgaben zur Vereinheitlichung der Wirtschaftsprüfungsverfahren von europäischen Unternehmen und zur verbindlichen Etablierung von Kontroll- und Risikomanagementsystemen.

    Umwandlung in nationales Recht

    Diese auch „Euro-SOX“ genannte Richtlinie muss allerdings im Sinne der EU-weiten Gesetzgebung erst in nationales Recht umgewandelt und dort weiter präzisiert werden. Erst dann kann sie eine bindende Wirkung entfalten. In Deutschland ist zur Umsetzung eine große Reform des Handelsbilanzrechts, das sogenannte Bilanzrechtsmodernisierungsgesetz (BilMoG) in Arbeit. Es wird jedoch nicht wie geplant bereits für Wirtschaftsjahre gelten, die nach dem 31.12.2008 beginnen. Man will damit auch eine Annäherung an die internationalen Rechnungslegungsstandards (IFRS) erreichen. Der Bundestagsrechtsausschuss hatte den Termin für die Durchführung der öffentlichen Expertenanhörung zum BilMoG auf den 17.12.2008 festgelegt. Das Gesetz wurde am 28. Mai 2009 im Bundesgesetzblatt verkündet. Es ist am 29. Mai 2009 in Kraft getreten. Zum Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz – BilMoG)

  • Kann ITIL/COBIT als Basis zur Erreichung der SOX bzw. Euro-SOX-Compliance dienen?

    ITIL und COBIT bilden eine hervorragende Basis zur Abdeckung der Dokumentations- und Kontrollanforderungen.

    Freie Verfügbarkeit

    Die auf Standards basierenden Prozesse der ITIL oder COBIT-Rahmenwerke liegt der Großteil der IT-Leistungsprozesse bereits beschrieben vor. Ihre Nutzung deckt alle relevanten Dokumentationsteile ab.

    Geringere Kosten

    Sie empfehlen sich auch aus Kostengesichtspunkten. Nötige Anpassungsaufwände fallen deutlich geringer aus, als die Kosten einer individuellen Dokumentation der Leistungsabläufe.

    Stets aktuell

    ITIL und COBIT werden kontinuierlich aktualisiert. Das stellt sicher, dass sie stets zeitgemäß sind. Letztere Vorzüge empfehlen sie auch für die Qualitätssicherungsnorm ISO 20000. Die verfügbare Dokumentation gelebter Prozesse und ihrer Kontrollen ist eine wesentliche Grundlage für die Beurteilung der SOX.Konformität von Prozessen und Leistungen und daher zwingend erforderlich.

  • Worin liegen die Auswirkungen von SOX auf die IT?

    Gemäß SOX sind Unternehmen dazu verpflichtet, eine ordnungsgemäße Bilanzierung und Finanzberichterstattung zu leisten. Und sie müssen diese über interne Kontrollsysteme sicherstellen. Deren Effektivität muss von unabhängiger Seite bestätigt werden. Aus dieser Anforderung folgen eine Reihe von Dokumentationspflichten bezüglich der eingesetzten Prozesse und Verfahren einerseits, wie auch der durchgeführten Kontrollen andererseits. Nachdem die IT die Grundlage für einen Großteil des internen Rechnungswesens bereitstellt, liegen entsprechende Verfahren ebenso im Fokus.

  • Was unterscheidet SOX von anderen Gesetzen, die für die IT gelten?

    SOX ist vielleicht der erste prominente Vertreter einer neuen Rechtsauffassung, bei der eine ordnungsgemäße Bilanzierung nicht nur allein das angewendete kaufmännische Handwerk bestimmt (z.B.: 4-Augen-Prinzip). Neben der manuellen Tätigkeit werden unter SOX verstärkt auch die IT-Systeme betrachtet, mit deren Hilfe bilanziert wird. Dabei erweisen sich vor allem „gewachsene“ Verfahrensstrukturen als tückisch.

    Systembrüche erschweren Nachweispflichten

    Bei gewachsenen Strukturen treten häufig Systembrüche und Schnittstellenproblematiken in der Datenverarbeitung auf. Und es können Serviceprozesse für die Bereitstellung der Dienste inhomogen ausgeprägt sein. Zumal in solchen IT-Landschaften Nachweispflichten zur ordnungsgemäßen Datenverarbeitung üblicherweise schwierig sind. Entsprechend sind die Kosten zur Beweissicherung und Auditierung unverhältnismäßig hoch.

  • Warum ist SOX bedeutend und welche Auswirkungen hat es auf deutsche Unternehmen?
    Persönliche Risiken

    Der Hauptunterschied zu den meisten anderen Bestimmungen sind die persönlichen Risiken, die mit den Haftungsbestimmungen von SOX einhergehen. Zumindest aus aus Sicht des Managements.

    Amerikanische Rechstsprechung

    Rechtlich gesehen unterwerfen sich Unternehmen, die an der US-Börse notiert sind, nicht nur der Aufsicht der SEC. Darüberhinaus unterliegen auch der US-amerikanischen Rechtsprechung. Sie kann entsprechende Gesetzesverstöße mit empfindlichen Geld- und Haftstrafen gegen das Unternehmen sowie Mitglieder des Managements ahnden. Dabei ist nicht das persönliche Verschulden allein maßgeblich, sondern auch die Verantwortung für Versäumnisse anderer im Unternehmen.

  • Was hilft es mir, SOX-compliant zu sein, wenn ich nicht SOX-pflichtig bin?

    SOX-Compliance ist vor allem für externe Dienstleister zwingend, die ihre Leistungen für Firmen erbringen, die selbst SOX unterliegen. Dabei ist es nicht maßgeblich, ob der IT-Dienstleister selbst den SOX-Anforderungen genügen muss. Er muss lediglich sicherstellen, dass seine Leistungen für den Kunden diesen Anforderungen genügen. Aber auch in anderen Fällen erscheint die Bestrebung nach SOX-Compliance sinnvoll, da sich ein entsprechendes Zertifikat auch als Qualitätsmerkmal der gebotenen Leistungen interpretieren lässt. Zumal derartig eingeführte Standards gleichzeitig eine Grundlage für zukünftige Gesetzesinitiativen sind (Euro-SOX).

  • Ist diese Ausbildung mit Bildungsgutschein förderfähig?

    Nein. Allerdings sind wir von der Agentur für Arbeit anerkannt (AZAV zugelassener Träger) und erstellen dir als Arbeitssuchenden gerne ein individuelles Angebot zur Vorlage bei deinem Ansprechpartner.

+49 89 - 44 44 31 88 0