0

IT Compliance mit IKS, ISAE 3402 & SOC

Regulierungsstandards und IKS-Einführung

IT Governance & Compliance

Interne Kontrollsysteme, ISAE 3402, PCAOB-Standard, SOC-Reports und Outsourcing. Die eintägige Schulung IT Compliance mit IKS, ISAE3402 & SOC verschafft Ihnen Klarheit im Schlagwort-Dschungel der IT-Compliance. Über die theoretischen Grundlagen hinaus zeigen wir Ihnen in diesem Kurs wie die Einführung eines internen Kontrollsystems in der Praxis aussieht.

Spezielle Governance-Regelungen in den USA

SOX steht für den Sarbanes-Oxley Act, ein Gesetz, das 2002 in den USA verabschiedet wurde. Es gilt für Unternehmen, deren Aktien in den USA gehandelt werden.
Durch dieses Gesetz sollen die Anleger geschützt werden. Es fordert unabhängige, genaue Prüfungsberichte von den Unternehmen. In diesem Kurs zeigen wir Ihnen, wie Sie COBIT nutzen können, um dem SOX zu entsprechen.

IT Compliance mit IKS, ISAE 3402 & SOC

Die Schulung „Interne Kontrollsysteme, ISAE 3402, SOC-Reports und Outsourcing – Klarheit im Schlagwort-Dschungel der IT-Compliance“ vermittelt die Grundlagen für die Umsetzung von Compliance im IT-Bereich unter der Beachtung der Anforderungen aus dem Sarbanes Oxley Act und anderen Regelwerken für IT Compliance. Insbesondere durch die Anwendung des Service Management Frameworks ITIL und des IT-Governance-Frameworks COBIT. Ergänzend zur Theorie erläutern wir Ihnen typische Projektvorgehensweisen anhand unterschiedlicher Praxisbeispiele.

  • Der Trainer ist Experte für IT-Compliance
  • Enger Praxisbezug
  • Teilnehmerpaket mit Unterlagen
  • Verpflegung während des Trainings
  • ÖPNV-Tickets für München
€ 950,- zzgl. Mwst.
  1. Termine
  2. Inhalte
  3. Zertifizierung
  4. Voraussetzungen
Termin Ort Preis* Prüfung**
Mi 06.10.2021

München – Landaubogen 1

950,- +
Mi 09.03.2022

München – Landaubogen 1

950,- +
*Nettopreise **optional

Ist diese Schulung für mich geeignet?

Diese Schulung ist das Richtige für Sie, wenn Sie für den Bereich Sicherheit, Risiko oder Datenschutz/Compliance zuständig sind. Auch als Führungskraft in einer solchen Organisation ist diese Schulung das Richtige für Sie, sofern Sie an Verwaltung und/oder Management von Informationssystemen beteiligt sind. Mögliche Rollen können sein: IT Management, IT Governance, CIO, IT Consultant, Interne Revision, Betreibenden des IKS, Auditoren und Assessoren, IT-Leiter, Qualitätsmanager in der IT, Verantwortlicher im IT-Betrieb, Verantwortlicher bei IT-Dienstleistern.

Welchen konkreten Nutzen ziehe ich aus dieser Schulung?

Nach dieser Schulung wissen Sie, wie Sie Compliance im IT-Bereich umsetzen und u.a. dabei den Anforderungen aus SOX zu entsprechen können.

Agenda

9:00 bis ca. 17:00 Uhr

  • Eine Welt in Unordnung
  • Ordnung durch Regulierung
  • ITIL und COBIT – starke Grundlagen
  • PCAOB Auditing Standard Nr. 2201 (AS 2201)
  • COSO und COBIT 5
  • IT General Controls und Application Controls
  • SOX Compliance und Outsourcing: SSAE 18 SOC 1 und ISAE3402
  • Einführung eines Kontrollsystems, Praxis und Erfahrungen

Für diesen Kurs gibt es keine Zertifizierungsmöglichkeit. Personenzertifizierungen im Bereich COBIT finden Sie hier.

Teilnahmevoraussetzungen gibt es keine. Allerdings ist das Seminar COBIT Foundation eine sinnvolle Grundlage, um die Zusammenhänge von COBIT und den Vorgaben an ein Internes Kontrollsystem (IKS) zu verstehen um im Kurs „IT Compliance mit IKS, ISAE3402 & SOC“ (früher Cobit for SOX) daran anknüpfen zu können.

?

FAQ - Fragen und Antworten zu COBIT und SOX

  • Was ist "SOX"?

    Der Sarbanes Oxley Act von 2002 zählt zu den tiefgreifendsten US-amerikanischen Gesetzen zum Anlegerschutz. Erlassen wurde er in Folge der gravierenden Kursverluste durch den Zusammenbruch einstiger Börsenstars wie Enron oder Worldcom. Das Gesetz verankert weitreichende Haftungsbestimmungen für das COBIT-Management in Bezug auf die Einrichtung und Prüfung interner Kontrollsysteme zur Sicherstellung der Richtigkeit der Finanzberichterstattung. Darüberhinaus werden die Haftungsbestimmungen auf den unabhängigen Wirtschaftsprüfer ausgedehnt. Sie wirken bis in verbundene Unternehmensteile und genutzte Service-Provider hinein. Der Sarbanes Oxley Act gilt für alle Unternehmen, die an US-amerikanischen Handelsplätzen notiert sind.

  • Welche Anforderungen haben europäische IT-Dienstleister in Zusammenhang mit SOX?

    Die Gültigkeit des Sarbanes Oxley Acts erstreckt sich auf alle Firmen, deren Aktien an US-Börsen oder außerbörslich in den USA gehandelt oder angeboten werden und die der Aufsicht der Securities and Exchange Commission (SEC) unterstehen. Das trifft auch zu auch auf

    – europäische Unternehmen, wenn diese an US Börsenplätzen notiert sind und
    – Organisationen, die als Service Provider Dienstleistungen für solche Unternehmen erbringen.

     

    In letzterem Fall gelten die Anforderungen nur für die erbrachten Leistungen und nicht für den Dienstleister als solchen. In der Regel können Dienstleister von ihren Kunden dazu aufgefordert werden, die SOX-Konformität der von ihnen verantworteten Prozesse nachzuweisen, oder ein diesbezügliches Audit im Auftrag der Kunden zuzulassen. SOX-konform sind Prozesse und Dienstleistungen dabei genau dann, wenn für die Finanzberichterstattung relevante Risiken (Falschaussagen, Unvollständigkeit, etc) durch die Dokumentation und Implementierung geeigneter Kontrollen minimiert werden. Und wenn deren Effektivität durch Tests in Bezug auf Kontrolldesign und operative Durchführung belegt werden kann. Der Prüfungsbericht ISAE 3402- Typ II eines externen Wirtschaftsprüfers gilt in aller Regel als geeigneter Nachweis der SOX-Konformität eines IT-Dienstleisters, dessen Dienste von US-börsennotierten Unternehmen in Anspruch genommen werden.

  • Was ist ein ISAE-3402 Bericht?

    Der Statement on Auditing Standard (ISAE 3402) ist ein vom PCAOB (Public Company Accounting Oversight Board) herausgegebener Prüfungsstandard. Seine praktische Bedeutung liegt vor allem darin, dass ein entsprechender Prüfungsbericht als geeigneter Nachweis für die SOX-konforme Leistungserbringung eines IT Service Providers angesehen wird. Man unterscheidet dabei den Typ-I- und den Typ-II-Nachweis. Nur der letztgenannte gilt als ausreichend in Bezug auf SOX. Denn ein ISAE 3402-Typ-II-„Zertifikat“ beschränkt sich nicht auf die Dokumentation bestimmter Verfahrenskontrollen durch den Dienstleister selbst (Typ-I). Er schließt auch eine Bestätigung über deren Effektivität durch einen externen Wirtschaftsprüfer ein, dessen Bericht auf einem Testing derselben basiert.

  • Was ist "Euro-SOX"?

    Auch in Europa haben die Auswirkungen der Börsenturbulenzen des Jahres 2001 und entsprechende Gesetzesinitiativen in den USA zu ähnlich gelagerten Gesetzesvorhaben geführt. Im Zuge der EU-weiten Rechtsharmonisierung wurde dazu die EU Richtlinie zum Thema „Abschlussprüfungen von Jahresabschlüssen“ (2006/43/EG bzw. 2008/30/EG „Änderung der Richtlinie 2006/43/EG“) verabschiedet. Sie präzisiert die bisherigen Vorgaben zur Vereinheitlichung der Wirtschaftsprüfungsverfahren von europäischen Unternehmen und zur verbindlichen Etablierung von Kontroll- und Risikomanagementsystemen.

    Umwandlung in nationales Recht

    Diese auch „Euro-SOX“ genannte Richtlinie muss allerdings im Sinne der EU-weiten Gesetzgebung erst in nationales Recht umgewandelt und dort weiter präzisiert werden. Erst dann kann sie eine bindende Wirkung entfalten. In Deutschland ist zur Umsetzung eine große Reform des Handelsbilanzrechts, das sogenannte Bilanzrechtsmodernisierungsgesetz (BilMoG) in Arbeit. Es wird jedoch nicht wie geplant bereits für Wirtschaftsjahre gelten, die nach dem 31.12.2008 beginnen. Man will damit auch eine Annäherung an die internationalen Rechnungslegungsstandards (IFRS) erreichen. Der Bundestagsrechtsausschuss hatte den Termin für die Durchführung der öffentlichen Expertenanhörung zum BilMoG auf den 17.12.2008 festgelegt. Das Gesetz wurde am 28. Mai 2009 im Bundesgesetzblatt verkündet. Es ist am 29. Mai 2009 in Kraft getreten. Zum Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz – BilMoG)

  • Kann ITIL/COBIT als Basis zur Erreichung der SOX bzw. Euro-SOX-Compliance dienen?

    ITIL und COBIT bilden eine hervorragende Basis zur Abdeckung der Dokumentations- und Kontrollanforderungen.

    Freie Verfügbarkeit

    Die auf Standards basierenden Prozesse der ITIL oder COBIT-Rahmenwerke liegt der Großteil der IT-Leistungsprozesse bereits beschrieben vor. Ihre Nutzung deckt alle relevanten Dokumentationsteile ab.

    Geringere Kosten

    Sie empfehlen sich auch aus Kostengesichtspunkten. Nötige Anpassungsaufwände fallen deutlich geringer aus, als die Kosten einer individuellen Dokumentation der Leistungsabläufe.

    Stets aktuell

    ITIL und COBIT werden kontinuierlich aktualisiert. Das stellt sicher, dass sie stets zeitgemäß sind. Letztere Vorzüge empfehlen sie auch für die Qualitätssicherungsnorm ISO 20000. Die verfügbare Dokumentation gelebter Prozesse und ihrer Kontrollen ist eine wesentliche Grundlage für die Beurteilung der SOX.Konformität von Prozessen und Leistungen und daher zwingend erforderlich.

  • Worin liegen die Auswirkungen von SOX auf die IT?

    Gemäß SOX sind Unternehmen dazu verpflichtet, eine ordnungsgemäße Bilanzierung und Finanzberichterstattung zu leisten. Und sie müssen diese über interne Kontrollsysteme sicherstellen. Deren Effektivität muss von unabhängiger Seite bestätigt werden. Aus dieser Anforderung folgen eine Reihe von Dokumentationspflichten bezüglich der eingesetzten Prozesse und Verfahren einerseits, wie auch der durchgeführten Kontrollen andererseits. Nachdem die IT die Grundlage für einen Großteil des internen Rechnungswesens bereitstellt, liegen entsprechende Verfahren ebenso im Fokus.

  • Was unterscheidet SOX von anderen Gesetzen, die für die IT gelten?

    SOX ist vielleicht der erste prominente Vertreter einer neuen Rechtsauffassung, bei der eine ordnungsgemäße Bilanzierung nicht nur allein das angewendete kaufmännische Handwerk bestimmt (z.B.: 4-Augen-Prinzip). Neben der manuellen Tätigkeit werden unter SOX verstärkt auch die IT-Systeme betrachtet, mit deren Hilfe bilanziert wird. Dabei erweisen sich vor allem „gewachsene“ Verfahrensstrukturen als tückisch.

    Systembrüche erschweren Nachweispflichten

    Bei gewachsenen Strukturen treten häufig Systembrüche und Schnittstellenproblematiken in der Datenverarbeitung auf. Und es können Serviceprozesse für die Bereitstellung der Dienste inhomogen ausgeprägt sein. Zumal in solchen IT-Landschaften Nachweispflichten zur ordnungsgemäßen Datenverarbeitung üblicherweise schwierig sind. Entsprechend sind die Kosten zur Beweissicherung und Auditierung unverhältnismäßig hoch.

  • Warum ist SOX bedeutend und welche Auswirkungen hat es auf deutsche Unternehmen?
    Persönliche Risiken

    Der Hauptunterschied zu den meisten anderen Bestimmungen sind die persönlichen Risiken, die mit den Haftungsbestimmungen von SOX einhergehen. Zumindest aus aus Sicht des Managements.

    Amerikanische Rechstsprechung

    Rechtlich gesehen unterwerfen sich Unternehmen, die an der US-Börse notiert sind, nicht nur der Aufsicht der SEC. Darüberhinaus unterliegen auch der US-amerikanischen Rechtsprechung. Sie kann entsprechende Gesetzesverstöße mit empfindlichen Geld- und Haftstrafen gegen das Unternehmen sowie Mitglieder des Managements ahnden. Dabei ist nicht das persönliche Verschulden allein maßgeblich, sondern auch die Verantwortung für Versäumnisse anderer im Unternehmen.

  • Was hilft es mir, SOX-compliant zu sein, wenn ich nicht SOX-pflichtig bin?

    SOX-Compliance ist vor allem für externe Dienstleister zwingend, die ihre Leistungen für Firmen erbringen, die selbst SOX unterliegen. Dabei ist es nicht maßgeblich, ob der IT-Dienstleister selbst den SOX-Anforderungen genügen muss. Er muss lediglich sicherstellen, dass seine Leistungen für den Kunden diesen Anforderungen genügen. Aber auch in anderen Fällen erscheint die Bestrebung nach SOX-Compliance sinnvoll, da sich ein entsprechendes Zertifikat auch als Qualitätsmerkmal der gebotenen Leistungen interpretieren lässt. Zumal derartig eingeführte Standards gleichzeitig eine Grundlage für zukünftige Gesetzesinitiativen sind (Euro-SOX).

+49 89 - 55 27 55 70