Beratung IKS & Risikomanagement

Jedes (grössere) Unternehmen hat ein mehr oder weniger ausgeprägtes Internes Kontrollsystem (IKS): Ein Unternehmen muss die notwendigen technischen und organisatorischen Massnahmen implementieren, um die  Sicherheit und Ordnungsmässigkeit der Geschäftspro­zesse zu gewährleisten. Als Internes Kontrollsystem bezeichnet man dabei die Gesamtheit aller in ­einem Unternehmen angewandten Methoden und Verfahren für: 

  • den Schutz des Geschäftsvermögens;
  • die Genauigkeit und Zuverlässigkeit der Buch­führung;
  • eine effiziente Geschäftsführung;
  • die Einhaltung der Geschäftspolitik;
  • die Verhinderung und Erkennung von Fehlern und Unregelmässigkeiten.

Die Implementierung eines wirksamen IKS stellt Unternehmen vor grosse Herausforderungen: Es gilt nicht nur, zwischen den oft unterschiedlichen Sichtweisen zu vermitteln – was der Finanzchef resp. die externe Revision unter IKS versteht (also das finanzrelevante IKS) deckt sich nur teilweise mit dem Blick der Geschäftsleitung (das von der GL angeordnete IKS) oder dem Standpunkt der IT (IKS beinhaltet mindestens auch die “generellen IT-Kontrollen”). Zudem sollte ein IKS sehr eng verzahnt werden mit dem operationellen Risikomanagement (siehe letzter Punkt der obigen Aufzählung).

Hier setzt unsere Beratungstätigkeit an: Einerseits verstehen wir die unterschiedlichen Wahrnehmungen des IKS genau und können daher dabei helfen, das finanzrelevante IKS in die IT “zu verlängern”. Andererseits kennen wir uns mit IT-Risikomanagement bestens aus und verknüpfen dieses mit dem operationellen Risikomanagement sowie dem Unternehmens-Risikomanagement.

Beispiele der von uns durchgeführten Untersuchungen und Beratungen:

  • Analyse der Prozesse für IT- und Unternehmens-Risikomanagement
  • Erstellung von Prozessen für Risikoregister rsp. Risikolandschaften
  • Analyse von Risikoregistern auf ihre Vollständigkeit und korrekte Bewertung
  • Integration des IT- in das Unternehmens-Riiskomanagement
  • Verknüpfung von IT-Risikomanagement mit ISMS (ISO27001)
  • Organisation von Risikoprüfungen und Risikoüberwachung

Seit Jahren beschäftigen wir uns mit operationellen Risiken im IT-Umfeld. Unsere langjährige Erfahrung im Benchmarking als Basis für Sicherheitsstrategien, Sicherheitsprojekt-Portfoliomanagement oder generell Risikomanagement hilft uns, in Zusammenarbeit mit den Kunden die geeignetste Form der Sammlung, Bewertung, Rapportierung und letztlich auch Minimierung von (operationellen) IT-Risiken zu finden.


 
Design & CMS by Eratec