Schwerpunkt- Thema: Sarbanes Oxley Basel II

Schwerpunkt-Thema:

Sarbanes OxleyBasel II

Nr. 73 Februar 2005

Inhaltsverzeichnis

3

Impressum

Herausgeber:

ISACA Switzerland Chapter

c/o Monika Josi

Novartis Animal Health

Global Information Technology

WRO-1032.1.90

4002 Basel

Redaktion:

Max F. Bretscher

KPMG Fides Peat

Badenerstrasse 172

8026 Zürich

[email protected]

Satz und Gestaltung:

WissensTransfer

Francesca Lüscher Baglioni,

8235 Lohn, SH

Jeder Nachdruck, auch auszugsweise, sowie

Vervielfältigungen oder sonstige Verwertung

von Texten oder Abbildungen aus dem

NewsLetter nur mit schriftlicher Genehmi-

gung des Herausgebers unter voller Quellen-

angabe.

Preise:

Mitglieder gratis

Abonnement CHF 35.–/Jahr

Einzelnummer CHF 10.–

Inserate:

1 Seite CHF 400.–

1/2 Seite CHF 240.–

1/4 Seite CHF 160.–

Erscheint 5 Mal jährlich

Auflage: 1350 Exemplare

Nächste Ausgabe (Thema: IT-Measurement):

April 2005, Redaktionsschluss: 14. März 2005

Inhaltsverzeichnis

Editorial 4

Sarbanes Oxley/Basel II – Ein Meilenstein der Bankenregulierung 5

Sarbanes Oxley/Basel II – Nouveaux Règlements 6

Sarbanes Oxley/Basel II – SOX IT S404 in Novartis 7

Sarbanes Oxley/Basel II – Mit den Augen desUnternehmensstrafrechts: Welche Bedeutung habender Sarbanes-Oxley Act & Co.? 9

Sarbanes Oxley/Basel II – SOX IT: The Challenge beyond Compliance 11

Sarbanes Oxley/Basel II – Bestmögliche IT-Unterstützungfür Corporate Governance durch mySAP ERP 12

Sarbanes Oxley/Basel II – Basel II und die IT 13

Forensic – IT-Unterschlagungsprüfung 14

The ISACA Crossword Puzzle 18

Express Line 22

Forum 23

DACH-News 24

Veranstaltungen 30

Vereinsadressen 33

Sarbanes Oxley/Basel II

4

Die drei Säulen vonBasel II

Basel II baut auf drei sich ergänzen-den Säulen auf. Die erste Säule knüpftan Basel I an und regelt die Mindest-kapitalanforderungen. Die Bestim-mungen der zweiten Säule haben dieÜberwachung des Risiko- und Kapital-managements durch die nationalenAufsichtsbehörden im Brennpunkt. Inder dritten Säule sind die Offenle-gungspflichten der Banken enthalten.

Aus Sicht der IT und der potentiellenKreditnehmer ist die erste Säule vonBedeutung. Dabei gelten neue Bemes-sungsansätze, wogegen die Einschät-zung des Marktrisikos gegenüber Ba-sel I unverändert bleibt. Ganz neu isthingegen die Einschätzung des Opera-tionellen Risikos.

In der heutigen Umwelt ist der Einsatzder IT für Betriebe aller Arten undGrössenordnung wesentlicher Be-standteil der Operationen. Viele die-ser Betriebe können ohne IT nichtfunktionieren, vom Überleben ganz zuschweigen. Die Beurteilung diesesRisikos ist demnach für Kreditnehmerund Kreditgeber von erheblicher Be-deutung.

Wie schätzt nun eine Bank das Ope-rationelle Kreditrisiko eines potentiel-len Kreditnehmers ein? Bei nach SwissGAAP FER, IFRS oder US GAAP ab-schliessenden Firmen wird eine solcheBeurteilung aufgrund der im Ge-schäftsbericht veröffentlichten (undvom externen Revisor geprüften) In-formationen „vom Pult aus“ einiger-massen möglich sein. Bei der Vielzahlder „kleinen“ potentiellen Kredit-

nehmer dagegen liegen selten ein-schlägige Berichte (z.B. bezüglichOrdnungsmässigkeit und Kontinuitätder Operationen) vor. Hier liegt m.E.ein erhebliches Potential an Beratungs-und Begutachtungsleistung für unsInformatikrevisoren vor.

Sind sich Banken und potentielle Kre-ditnehmer sich dessen bewusst?! Wirselber?!

Max F. Bretscher

Les trois piliers de Bâle II

Le concept de Bâle II est fondé sur troispiliers. Le premier reprend Bâle I ettraite des exigences minimales enmatière de capital propre. Le secondse concentre sur la surveillance par lesautorités nationales de la gestion descapitaux et des risques. Le troisièmetraite des exigences des banques enmatière de transparence.

Le premier pilier est essentiel pourl’informatique et les débiteurs poten-tiels. Si les nouvelles règles de calculreprennent sans modification l’estima-tion du risque de marché telle que BâleI la prévoyait, il n’en est pas de mêmedu risque opérationnel.

L’informatique est aujourd’hui partieintégrante de la plupart des entrepriseset peu d’entre elles pourrait survivresans elle. L’estimation de ce risqueinformatique, intégré dans le « risqueopérationnel », occupe désormais uneplace centrale dans l’examen desdemandes de crédit.

Editorial Comment une banque estime-t-elle lerisque de crédit opérationnel d’undébiteur potentiel ? Pour les entre-prises qui se soumettent aux SwissGAAP RPC, aux IFRS ou aux US GAAP,ce point sera compris dans le rapportde gestion (qui sera examiné parl’auditeur externe). Il sera ainsi possiblede procéder à un examen « sur dossier ».Pour les autres entreprises, les « petits »débiteurs potentiels, pas de rapportsexternes, pas d’attestations de larégularité et de la continuité desopérations informatiques par unauditeur qualifié. Un domaine danslequel il existe aujourd’hui un réelbesoin, qui n’est pas couvert par lemarché de l’audit et du conseil d’entre-prise !

En sommes-nous conscients ?

Max F. Bretscher


5

Das Kreditwesen der letzten Jahre hatim Bereich Risikomanagement – gera-de in der Schweiz – grosse Fortschrit-te erzielt. Mit der Entwicklung vonbankinternen Ratingsystemen und derdadurch stark verbesserten Identifika-tion und Messung der Risiken wurdeder Grundstein für tiefgreifende Ver-änderungen im Kreditgeschäft gelegt.

Die Steuerung des Kreditportfoliosnach Risikogesichtspunkten ist heuteweit verbreitet, ebenso die Ausrich-tung des Kreditzinssatzes nach der in-dividuellen Kreditfähigkeit des Schuld-ners. Der Umgang der Banken mit Ri-siken ist effizienter geworden.

Mit dem raschen Wandel der Finanz-märkte und des Risikomanagementsder Finanzinstitute nicht mitgehaltenhat allerdings die Bankenregulierung.Die 1988 im Rahmen von Basel I ein-geführten, noch weitgehend risiko-intensiven, Eigenkapitalvorschriftensind überholt. Die Revision – Basel II –tut Not.

Zukünftig steht den Banken für dieBerechnung der regulatorischen Eigen-mittelunterlegung von Kreditrisiken einMenü von Ansätzen offen. Dabei sindgrundsätzlich immer dieselben Fakto-ren relevant: Forderungsklasse (z.B.KMU-Kredit, Privathypothek), Kredit-nehmerrating, eingebrachte Sicherhei-ten. Doch können Banken mit einemfortschrittlichen, die hohen Anforde-rungen der Regulatoren erfüllenden,Risikomanagement das geforderteMindesteigenkapital stärker an deneffektiven Risiken ausrichten und ver-mehrt Techniken der Kreditrisiko-minderung berücksichtigen.


Ein Meilenstein derBankenregulierung

Ob und in welchem Ausmass sich einverändertes Eigenkapitalerfordernisauf die individuellen Kreditzinssätzeniederschlägt, hängt wesentlich vomRisikomanagement einer Bank undvon den Kräften auf dem Kapitalmarktab. Bei den Schweizer Finanzinstitutenwurde mit den Fortschritten im Kredit-risikomanagment der letzen Jahre vie-les von Basel II vorweggenommen. DieAuswirkungen der neuen Richtliniendürften sich deshalb in Grenzen hal-ten. Namentlich für viele Firmenkun-den ist kaum mit veränderten Kredit-konditionen infolge des zukünftigenEigenmittelerfordernisses zu rechnen.

Dies einerseits, weil (grössere) Bankenihre Eigenmittelunterlegung schonheute weniger nach regulatorischenals nach ökonomischen Gesichtspunk-ten gestalten und dies – neben Risiko-prämien – in ihren Kreditsätzen ent-sprechend berücksichtigen. Anderer-seits bewegen sich die meisten Kun-den im mittleren Bonitätsbereich, wodas zukünftige regulatorische Kapitalim Rahmen der heutigen Anforderun-gen liegt. Überdies sieht Basel II beikleinen und mittleren Unternehmen(KMU) unter bestimmten Vorausset-zungen eine niedrigere Eigenmittel-unterlegung vor.

Mit Entlastungen darf gegebenenfallsbei den Privatkrediten gerechnet wer-den, da in der geltenden Regelung dieEigenmittelvorschriften für die relativsicheren Kredite eher zu hoch sind.Dies führt nicht zuletzt zu einer Ver-schärfung des Wettbewerbs um Kun-den mit geringem Risiko.

Mit Basel II werden Ratings für Firmen-kunden weiter an Bedeutung gewin-

nen. Dadurch werden Unternehmenvermehrt auf ihre Markt- und Zu-kunftsfähigkeit geprüft sowie derenFinanzierung stärker auf Risiko- undRentabilitätsaspekte ausgerichtet. FürBanken werden Ratings zusehendszum kritischen Erfolgsfaktor. Für Kre-ditnehmer bieten sie die Chance,unternehmensinterne Einschätzungenmit einer externen Perspektive zu er-gänzen.

Basel II ist ein Meilenstein auf demWeg zu einer international harmoni-sierten Bankenregulierung und einemsoliden Finanzsystem. GewichtigeSchwächen von Basel I werden – zu-mindest teilweise – korrigiert. Auch beineuen Empfehlungen sind aber Beden-ken erlaubt. Problematisch sind etwaWettbewerbsverzerrungen, welchedurch Nichtunterwerfung wesentlicherFinanzmarktteilnehmer ausserhalb derBankenbranche unter die neuen Richt-linien, aber auch deren uneinheitlichenationale Umsetzung, entstehen wer-den. Schon heute ist absehbar, dassauf Basel II weitere Neuerungen in derRegulierung von Finanzinstituten fol-gen müssen.

Auszugsweiser Nachdruck desEconomic Briefing Nr. 36 mitfreundlicher Genehmigung derAutoren;Herausgeber: Credit SuisseEconomic Policy & ConsultingPostfach 100, CH-8070 Zürich


6

Voici plusieurs mois que la loi amé-ricaine Sarbanes-Oxley Act s’imposepour les modalité de gestion ou«gouvernance» des entreprises. L’Eu-rope, de près ou de loin, suit ce cou-rant réformateur.

C’est la première fois qu’une étudetente de chiffrer le coût de l’adaptationdes nouvelles règles de transparencefinancière, de garantie sur l’intégritédes données au sein des entreprises.

1 million de dollars pour 1milliard de chiffred’affaires.

Le coût n’est pas négligeable. Il pour-rait justifier l’adoption de solutions demigration particulières, d’autant que,même si la SEC a accepté d’accorderun délai supplémentaire d’un an auxentreprises qui le demandent,l’échéance est proche, et ses effetsinduits risquent de se révélerautrement plus onéreux.

Sarbanes-Oxley

C’est bien au-delà des Etats-Unis queles entreprises sont concernées parSarbanes-Oxley Act (SOX), l’ensembledes lois américaines qui définissent lesnouvelles règles de gouvernance,élaborées à la suite d’une multitudede scandales (Enron, Worldcom…) quiont ébranlé une partie des fondementséconomiques de l’Amérique libérale.

Car il n’y a pas seulement les entre-prises américaines qui sont concer-nées, mais aussi toutes leurs filiales,et les entreprises qui travaillent pour

elles ou exportent vers l’Amérique duNord.

Et si cela ne suffisait pas, les juridictionsoccidentales, en particulier européen-nes, travaillent à faire évoluer leurspropres législations, qui devraient serapprocher de SOX. Et de toutesfaçons, SOX va rapidement influer surles comportements des entreprises etdevenir une part de leurs règles debonnes pratiques !

La section 404 de SOX devrait êtrel’une des premières à être mises enapplication. Elle concerne l’auto-éva-luation des contrôles internes desprocédures de ‘reporting’ financier. Lesdonnées financières de l’entreprisedoivent donc être correctement collec-tées, traitées et stockées.

Ces procédures concernent d’unemanière ou d’une autre les servicestechnologiques et de traitement del’information dans l’entreprise. En par-ticulier SOX prévoit la traçabilité deTOUS les mouvements financiers, doncobligatoirement de TOUS les processusIT partagés.

C’est tout le schéma directeur del’information dans l’entreprise qui doitêtre validé, et peut être revu, ainsi queles responsabilités de chacun afin des’assurer que les termes de SOX sontrespectés.

Il ne faut pas oublier qu’en ruptureavec les pratiques courantes de lagouvernance d’entreprise, SOX prévoitla responsabilité des maillons straté-giques de l’entreprise, avec des peinesd’emprisonnement à l’appui en cas depoursuites ! Rien de mieux qu’un diri-

geant en prison pour ternir la répu-tation d’une entreprise…

Les responsables informatiques, aucœur du traitement de l’informationdans l’entreprise, figurent désormaisau premier rang des personnes con-cernées par le Sarbanes-Oxley Act. Enont-ils conscience ?

Ils feraient sans doute mieux des’assurer que leurs services et l’entre-prise qui les emploie sont bien enconformité avec SOX, car désormaismême le plus obscure sous traitantd’une entreprise américaine pourraêtre contrôlé… Sans risque, pensez-vous ? Et la perte d’un contrat pournon respect des règles de gouver-nance, vous avez chiffré ce que celareprésente ?

Repris avec la permission de l’AFAI


Nouveaux Règlements


7

Hintergrund Information

Die Sarbanes-Oxley (SOX) Anforderun-gen werden oftmals nur aus Finanz-sicht beurteilt und der Einfluss sowiedie Anforderungen von SOX auf dieInformatik eines Betriebes unter-schätzt. Gemäss SOX müssen auch dieKontrollen über die Applikationen so-wie der Infrastruktur eines Betriebeszur SOX Section 404 Attestierung miteinbezogen werden. Novartis hat sichals sogenannter Foreign Private Issuerfreiwillig den Zeitvorgaben für ameri-kanische Firmen unterstellt, d.h. eswurde bereits ein vollständiger SOX-Attestierungszyklus durchgeführt. Umdiesen Anforderungen Rechnung zutragen, hat Novartis im März 2004 einSOX-IT-Projekt ins Leben gerufen mitdem Ziel, Novartis zur Attestierung imIT-Bereich zu führen. Für 2004 betrafdies die wichtigsten globalen Lokatio-nen von Novartis, deren 42.

Der nachfolgende Artikel beschreibtdie Auswahl der Kontrollen, die Imple-mentierungsstrategie sowie die dabeigemachten Erfahrungen.

Auswahl der Kontrollen

Als Grundlage für die zu implemen-tierenden Kontrollen wurde das dann-zumal aktuelle „IT Control Objectivesfor Sarbanes Oxley, Discussion Docu-ment“ des IT Governance Institute (einaktualisiertes Dokument ist frei überwww.itgi.org erhältlich) gewählt. Diedarin vorgeschlagenen Kontrollen ba-sieren auf dem COBIT Framework (er-stellt durch und erhältlich bei Informa-tion System Audit and Control Associa-tion ISACA www.isaca.org), das als de

facto Standard im Bereich IT Audit undIT Governance und als IT-Gegenstückzum COSO Framework gilt. Der Fokusbei der Auswahl wurde dabei auf dieKontrollen gelegt, die einen „High-Risk“ Bereich adressieren (Security Ma-nagement, Change Management, Pro-blem Management, Disaster Recove-ry, Service Level Management) odergenerell die Qualität der implementier-ten Lösungen nachhaltig beinflussen(Corporate Policies, Project Manage-ment).

Implementierung

Für die Implementierung der Kontrol-len in den Lokationen hat sich dasSOX-IT-Projektteam, bestehend auseinem Projektleiter und fünf Kern-teammitgliedern aus der gesamtenNovartis-IT-Organisation, entschlossen,einen „Kochbuch“-artigen Ansatz zuwählen, d.h. es wurden zentral mög-lichst genaue Vorgaben bezüglich

� der abzudeckenden Applikationenund Infrastrukturkomponenten� der geforderten Dokumention� des Zeitrahmens� des zu erreichenden Maturitäts-levels der einzelnen Kontrollen sowie� der Anforderungen an die Test-aktivitätengemacht. Das notwendige „Rüstzeug“gab das SOX-IT-Projektteam an welt-weiten Workshops an die lokalen IT-SOX-Koordinatoren weiter. Zudemwurde ein enges Projektkontrollingund -management durchgeführt. Diekontinuierliche Überprüfung der Qua-lität der gelieferten Unterlagen sowieder monatlich eingeforderte Projekt-status jeder Lokation halfen, allfälligeProbleme rasch zu adressieren undunterstützend einzugreifen. Als Ergän-zung zum Reporting hat das SOX-IT-Projektteam von Juni bis August alle42 Standorte aufgesucht und sich vorOrt über den Stand der Aktivitäten unddes Projektstatus informiert. Die Ver-antworlichen für das gesamte SOX-Projekt, die Businessvertreter sowie dasIT Management wurden zudem inregelmässigen Newslettern undStatusberichten über den Projekt-Stand sowie die nächsten Schritte in-formiert.

Nachfolgend eine Abbildung desTerminplanes für das SOX-IT-Projekt:


SOX IT S404 in Novartis

May June July Aug Sep Oct Nov Dec

Document

Key Controls

Test Key

Controls

Remediate

Gaps

Document

Gaps

Audit / ReviewsWalkthroughs

Documentation

Completed

Gaps

Closed

Testing

completed

Auditors

Attestation

May June July Aug Sep Oct Nov DecMay June July Aug Sep Oct Nov Dec

Document

Key Controls

Test Key

Controls

Remediate

Gaps

Document

Gaps

Audit / ReviewsWalkthroughs

Documentation

Completed

Gaps

Closed

Testing

completed

Auditors

Attestation


8

Herausforderungen

Die grössten Herausforderungen stell-ten sich vor allem in den folgendenBereichen:

Verfügbare Resourcen

Zum Zeitpunkt der genauen Definitiondes SOX-IT-Projektes waren die meis-ten Resourcen bereits in Projekten undInitiativen verplant. Es galt, zusammenmit dem Business und den IT-LeiternPrioritäten neu zu definieren und dieWichtigkeit des SOX-Projektes deutlichzu machen.

Change Management innerhalbdes Projektes

Während des Jahres wurden die Listeder Applikationen, die Lokationen unddie Feinabstimmung der Kontrollengeändert. Es galt jeweils, schnell aufdie veränderte Situationen einzugehenund die SOX-IT-Koordinatoren zu in-struieren.

Umgang mit Outsourcern

In praktisch allen Lokationen warenFunktionen, wie zum Beispiel das Hos-ting von Applikationen, an Dritte out-gesourced. Es galt, genaue Vorgabenbezüglich dem Umgang und der Kon-trolle mit diesen Outsourcern zu defi-nieren. In einigen Fällen wurde vorge-schrieben, diese in die SOX-IT-Aktivi-täten einzubinden und ein Audit beidiesen durchzuführen.

Schnittstellen zwischen Systemenund Funktionen

Die Definition der Schnittstellen zwi-schen Applikationen und Geschäfts-funktionen bedurfte oft einer genauenAnalyse und Feinabstimmung bezgl.

des Umfanges und der Verantwort-lichkeiten für die SOX-IT-Tätigkeiten.

Gemachte Erfahrungen

Positive Erfahrungen wurden in denfolgenden Bereichen gemacht:� Positive Rückmeldungen aus denLokationen bezgl. des gewählten zen-tralen Ansatzes� Gute Akzeptanz in den Lokationen(SOX-IT als genereller Verbesserungs-prozess)� Rückhalt und Kooperation durch/mit SOX-Business� Unterstützung durch das Manage-ment� Identifikation der „globalen“ Pro-zesse und somit Erleichterung für dieeinzelnen Lokationen� Synchronisation mit anderen, SOX-IT überlappenden globalen Prozessen/Projekten, wie z.B. IT Security, ITIL-Ini-tiativen und IT Quality Management

Alles in allem zeigen die bisherigenErfahrungen, dass der Aufwand vorallem im Bereich des Testens der Kon-trollen nicht zu unterschätzen und eineenge Zusammenarbeit zwischen Busi-ness und IT gefordert ist. Vor allem inder Phase des Testings war auch einschnelles Reagieren vom SOX-IT-Projektteam gefordert, um rasch aufallfällig auftretende Probleme oder Fra-gen einzugehen. Das Zusammen-rücken von IT und Business sowie dasRealisieren, dass SOX-IT ein ersterSchritt für eine kontinuierliche Verbes-serung der gelebten Prozesse ist, sindwohl die positivsten Aspekte diesesersten SOX-IT-Jahres, das im Dezem-ber 2004 erfolgreich mit der SOX-IT-Attestierung abgeschlossen werdenkonnte.

Monika JosiIT Compliance OfficerNovartis Animal HealthMitglied des SOX-IT-Projektteams


9

Per 1. Oktober 2003 ist Art. 100quater

StGB1 in Kraft getreten, wonach einUnternehmen für ein Verbrechen oderVergehen, welches in Ausübung ge-schäftlicher Verrichtung im Rahmendes Unternehmenszwecks begangenwurde und keiner bestimmten natür-lichen Person zugerechnet werdenkann, mit Busse bis zu fünf MillionenFranken bestraft werden kann. Voraus-setzung dafür ist die mangelhafte Or-ganisation des Unternehmens.

Per 30. Juli 2002 ist der Sarbanes-OxleyAct – eine lex americana – 2 in Kraftgetreten, ein Rahmengesetz, welchesfür korrekte und aussagekräftige Bi-lanzen sorgen, die Corporate Gover-nance optimieren und das Vertrauender Anleger stärken soll.3 Überdieswird voraussichtlich per 31. Dezember2006 die Vereinbarung Basel II in Krafttreten, die Eigenkapitalvereinbarungdes Basler Ausschusses für Bankenauf-sicht und Folgevereinbarung von Ba-sel I4 aus dem Jahre 1988. Basel II be-zweckt mit seinem 3-Säulenkonzept(Mindesteigenmittelvorschriften, Auf-sichtsverfahren, Marktdisziplin) dieStärkung der Sicherheit und Zuverläs-sigkeit des Finanzsystems, die Verbes-serung der Wettbewerbsgleichheitund eine vollständigere Erfassung derRisiken. Operationelle Risiken sollenvon Kreditrisiken getrennt werden.5

Noch unbestimmt ist der Zeitpunkt desInkrafttretens der neuen Gesetzge-bung zur Rechnungslegung und Revi-sion6.

Es mag erstaunen, jedoch haben dievier erwähnten Elaborate7 einiges ge-meinsam. Die Stichworte sind vorab:Risikomanagement, Corporate Gover-nance, Vertrauensförderung.

Inwiefern hängen SOA und Basel II mitdem Unternehmensstrafrecht zusam-men? Wer muss bei dieser Ausgangs-lage schlaflose Nächte haben? DieStrafrechtler? CEOs und CFOs? DieKMU? Wo schläft man besser? In denUSA oder in der Schweiz? Wer schläftwohl ungestörter? Der Unternehmeroder die Strafrechtlerin? Nur einigewenige Aspekte sollen hier diskutiertwerden.

SOA und 100quater StGB

Gemäss SOA haben CEO und CFOoder Personen mit ähnlichen Funktio-nen die Durchsicht des Finanzaus-weises (die korrekte und vollständigeWiedergabe der finanziellen Situationder Gesellschaft) eidesstattlich zu be-glaubigen.8 Wichtig im Zusammen-hang mit Art. 100quater StGB ist die Ver-pflichtung dieser Personen, „interneKontrollsysteme und deren wirksameDurchführung“ zu installieren und dieErgebnisse der Kontrollen zu unter-zeichnen. Bei bewussten Falschan-gaben drohen strafrechtliche Sanktio-nen. Im schweizerischen Strafrecht(und nur dieses interessiert uns hier)wird diesen SOA-Anforderungen mit-tels Art. 152 StGB bereits Rechnunggetragen.9 Theoretisch kann Art. 152StGB Anlasstat zu Art. 100quater StGBbilden, sofern grundsätzlich die Mög-

lichkeit bejaht wird, dass SonderdelikteAnlasstaten für die Strafbarkeit vonUnternehmen bilden können. Fehlba-res Verhalten kann aber – unabhän-gig vom SOA – in jedem Fall strafrecht-lich verfolgt werden. Entweder in ei-nem Strafverfahren gegen das Unter-nehmen (sofern Sonderdelikte als An-lasstaten anerkannt werden, was dieGerichte zu entscheiden haben wer-den) oder gegen natürliche Personen.

Fazit: Aus der Sicht des Unterneh-mensstrafrechts kann der SOA Bedeu-tung erlangen, und dies aus folgen-dem Grund: Die durch den SOA ok-troyierte Installierung von internenKontrollsystemen und die Verantwor-tung für deren wirksame Durchfüh-rung könnte ein Abwehr- bzw. Sicher-heitsdispositiv sein, mittels welchemein Organisationsmangel, welcherGrundlage für die Unternehmens-strafbarkeit bildet, erfolgreich abge-wehrt werden könnte, sofern dasKontrollsystem dazu geeignet ist, diestrafrechtlich fehlbare natürliche Per-son zu eruieren.

Allerdings könnte hier den KMU einrauer Wind entgegenwehen, denn eswerden vorab grössere, oekonomischpotentere, Unternehmen sein, welchesich ein Abwehrdispositiv in organisa-torischer Hinsicht und entsprechendeKontrollsysteme schaffen können:Durch Erlass klarer Reglemente oderOrganigramme. KMU-Betriebe (insbe-sondere die Klein- und Kleinstunter-nehmen) haben in der Regel weder dasGeld noch das Know-how dazu.10 DenKMU zum Trost sei jedoch eine ketze-rische Bemerkung erlaubt: Der Erlassvon allzu filigranartigen Reglementenkann auch zum Eigengoal werden,denn: Wer reglementiert, muss sichdaran halten. Ein Beispiel: Ist in einemOrganigramm ein „legal complianceofficer“ vorgesehen und die Stellebleibt vakant und genau während die-ser Zeit kommt es zu Delikten, wer-den die Strafverfolgungsbehörden –bei Edition der Organigramme – un-


Mit den Augen des Unter-nehmensstrafrechts: WelcheBedeutung haben der Sarbanes-OxleyAct & Co.?


10

schwer feststellen können, dass einOrganisationsmangel vorliegt, dieUnternehmensstrafbarkeit nach sichzieht.

Basel II und 100quater StGB

Basel I wurde in der Verordnung überdie Banken und Sparkassen (BankV)11

umgesetzt. Das selbe dürfte in Bezugauf Basel II zu erwarten sein. Was be-deutet das? Gesetzliche Grundlage fürdie BankV bildet das Bankengesetz,12

welches auch Strafbestimmungen ent-hält:13 Wer beispielsweise als aner-kannte Revisionsstelle die ihm durchBankG und BankV auferlegten Pflich-ten grob verletzt, wird strafrechtlichverfolgt. Es mag vielleicht erstaunen,aber in diesem Bereich ist Art. 100quater

StGB nicht anwendbar. Art. 51 Abs. 2BankG erklärt nämlich bei Widerhand-lungen nach Art. 46, 49, 5014 und 50bis

BankG die allgemeinen Bestimmungendes Verwaltungsstrafrechtsgesetzes(VStrR) vom 22. März 197415 (Art. 2 –13) für anwendbar.

Wie in den meisten Fällen des Neben-strafrechts ist somit – unter Ausschlussvon Art. 100quater StGB – vorab Art. 6VStrR anwendbar.16 Es wäre ohnehinschwierig, für die vorgenannten Straf-bestimmungen einen Fall zu konstru-ieren, in welchem eine Straftat vorliegtund die dafür verantwortliche natürli-che Person nicht gefunden werdenkann. Statt verwischte und unklareVerantwortlichkeiten mittels Art.100quater StGB wieder aufzufangen,schafft Art. 6 VStrR klare Verant-wortlichkeiten. Die teilweise unsorg-fältig kritisierte Bundesgerichtspraxiszur Strafbarkeit des Unternehmens17

darf sich – berechtigterweise – neuerBeliebtheit erfreuen. Sie schafft – dankAnwendbarkeit von Art. 6 VStrR –zumindest im Nebenstrafrecht klareVerantwortlichkeiten und griffige Kri-terien für die Strafbarkeit von Unter-nehmern und damit des Unterneh-mens.

Fazit: Sofern die Bestimmungen vonBasel II im Rahmen der Bankgesetz-und Verordnungsgebung niedergelegtwerden, dürfte qua Verweis in derBankengesetzgebung für strafbareHandlungen Art. 6 VStrR zur Anwen-dung kommen. Damit wird eine Unter-nehmensstrafbarkeit gemäss Art.100quater StGB verdrängt. Das Regel-werk Basel II schafft allenfalls neueStraftatbestände, welche – bei fehlen-den Abwehr- und Sicherheitsdisposi-tiven und Kontrollsystemen – zur Straf-barkeit von Unternehmern (nicht desUnternehmens!) führen können.

Auf einen Punkt gebracht: Es beste-hen Zusammenhänge zwischen demUnternehmensstrafrecht und SOA undBasel II. Schlaflose Nächte braucht des-halb – bei guter Organisation – nie-mand – weder CEO, CFO, Strafrecht-ler oder Unternehmerin – zu haben.Bei den KMU könnte das Liegen beimAufbau von Abwehr- und Kontroll-systemen mangels Finanzen undKnow-how zeitweise etwas schmer-zen. – Schlafstörungen? Die gibt esimmer – und überall.

Natalia SchmukiFürsprecherin und NotarinAssistentin von Prof. Dr. M. A. NiggliLehrstuhl für Strafrecht undRechtsphilosophie

Endnoten1 Schweizerisches Strafgesetzbuch vom 21.

Dezember 1937 (zit. StGB), Systematische

Rechtssammlung (zit. SR) 311.02 „An Act to protect investors by improving

the accuracy and reliability of corporate

disclosures made pursuant to the securities

laws, and for other purposes.“3 Von der Crone, Hans Caspar/Roth, Katja:

Der Sarbanes-Oxley Act und seine extra-

territoriale Bedeutung, AJP 2/2003 (zit.

Von der Crone/Roth), S. 131 f. – Dieses Ge-

setz ist nicht ohne Bedeutung für die Schweiz,

da sich sein Geltungsbereich auch auf nicht

amerikanische Unternehmen, welche in den

USA zweitkotiert sind erstreckt (vgl. Von der

Crone/Roth, S. 132). Zu den vom Sarbanes

Oxley Act betroffenen Schweizer

Unternehmen, vgl. Von der Crone/Roth,

S. 132, FN 11).4 Basel I setzt einheitliche Mindestanfor-

derungen für Kreditrisiken und soll die Stabi-

lität des internationalen Bankensystems fö

rdern.5 Befürchtet werden in diesem Zusammen-

hang Kredit- bzw. Zinsverteuerungen, Rück-

zug der Banken aus dem Kreditgeschäft, Ver-

knappung der Kreditmittel. Amstutz/von

Bhicknapahari sehen die KMU als grosse Ver-

lierer solcher Globalisierungsgesetzgebung,

cf. Amstutz, Marc/von Bhicknapahari, Sikan-

der, Gesetzgebung auf verschlungen Wegen?

Der Entwurf zu einem Revisionsaufsichts-

gesetz, die KMU und die Globalisierung des

Rechts (zit. Verschlungene Wege), NZZ vom

23. November 2004, S. 29.6 Davon soll aber hier im Detail nicht die Rede

sein. Siehe zu diesem Bereich Amstutz/von

Bhicknapahari, Verschlungene Wege.7 Unternehmensstrafrecht, Sarbanes Oxley

Act, Basel II und die Gesetzgebung zu Rech-

nungslegung und Revision.8 Von der Crone/Roth, S. 133.9 A.a.O. (Section 906 des SOX)10 Immerhin machen die KMU in der Schwei-

zer Wirtschaft 99, 7 Prozent aus. Die KMU

beschäftigen zwei Drittel der Erwerbstätigen.

Dabei sind 88 Prozent aller Unternehmen

Mikro-Unternehmen, welche weniger als 10

Personen beschäftigen (nachzulesen auf

www.economiesuisse.ch, Rubrik KMU-Fra-

gen, besucht am 20.1.2005).11 SR 952.02, Verordnung vom 17. Mai 1972

über die Banken und Sparkassen (Banken-

verordnung, zit. BankV)12 SR 952.0, Bundesgesetz vom 8. November

1934 über die Banken und Sparkassen

(Bankengesetz, zit. BankG)13 Beispielsweise Art. 46 Abs. 1 lit. k BankG:

Wer vorsätzlich als anerkannte Revisionsstelle

bei der Revision oder bei Erstattung des

Revisionsberichtes die ihm durch dieses Ge-

setz oder die Ausführungsbestimmungen

auferlegten Pflichten grob verletzt, nament-

lich im Revisionsbericht unwahre Angaben

macht oder wesentliche Tatsachen ver-

schweigt oder eine vorgeschriebene Auffor-

derung an die revidierte Bank unterlässt oder

einen vorgeschriebenen Bericht an die


11

Bankenkommission nicht erstattet, wird mit

Gefängnis bis zu sechs Monaten oder mit

Busse bis zu 50’000 Franken bestraft.14 Bei Art. 49 und 50 BankG käme das Unter-

nehmensstrafrecht ohnehin nicht zur Anwen-

dung, das es sich hierbei um Übertretungen

handelt, welche von Art. 100quater StGB

nicht erfasst werden.15 SR 313.0. Art. 6 VStrR (Widerhandlungen

in Geschäftsbetrieben, durch Beauftragte u.

dgl.) lautet:

(1) Wird eine Widerhandlung beim Besorgen

der Angelegenheiten einer juristischen Per-

son, Kollektiv- oder Kommanditgesellschaft,

Einzelfirma oder Personengesamtheit ohne

Rechtspersönlichkeit oder sonst in Ausübung

geschäftlicher oder dienstlicher Verrichtungen

für einen andern begangen, so sind die Straf-

bestimmungen auf diejenigen natürlichen

Personen anwendbar, welche die Tat verübt

haben.

(2) Der Geschäftsherr, Arbeitgeber, Auftrag-

geber oder Vertretene, der es vorsätzlich oder

fahrlässig in Verletzung einer Rechtspflicht

unterlässt, eine Widerhandlung des Unterge-

benen, Beauftragten oder Vertreters abzu-

wenden oder in ihren Wirkungen aufzuhe-

ben, untersteht den Strafbestimmungen, die

für den entsprechend handelnden Täter gel-

ten.

(3) Ist der Geschäftsherr, Arbeitgeber, Auftrag-

geber oder Vertretene eine juristische Person,

Kollektiv- oder Kommanditgesellschaft,

Einzelfirma oder Personengesamtheit ohne

Rechtspersönlichkeit, so wird Absatz 2 auf die

schuldigen Organe, Organmitglieder, ge-

schäftsführenden Gesellschafter, tatsächlich

leitenden Personen oder Liquidatoren ange-

wendet.16 Ausführlich dargelegt von Niggli, Marcel

Alexander und Schmuki, Natalia, anlässlich

des Referates „Unternehmensstrafrecht: Fäl-

le wie Von Roll und Schweizerhalle – Gestern,

heute und morgen“ vom 30. November 2004

vor der SEBWK in Bern (Publikation in Bear-

beitung).17 Es sei an dieser Stelle nur exemplarisch auf

BGE 122 IV 103 ff. in Sachen Von Roll ver-

wiesen. Weitere Beispiele siehe Wiprächtiger,

Hans: Strafbarkeit des Unternehmers. Die

Entwicklung der bundesgerichtlichen Recht-

sprechung zur strafrechtlichen Geschäftsher-

renhaftung, AJP 7/2002, S. 754 – 762.

Yes, the implementation of SOX IT is amajor challenge for all IT organiza-tions. The implementation consumesa substantial amount of resourceswithin each IT organization. Keycontrols have to be documented,implemented, and gaps have to beremedied. Testing is time intense, andas it is new to many organizations totest their key controls it is also a jour-ney to an unexplored land. Main-tenance of SOX IT will become a sub-stantial task for 2005, and the organi-zations are just about to learn theimpact on their daily operations. AndIT is also supporting the business toautomate and implement key controls.Meanwhile it remains crucial for ITmanagers to meet all other deadlinesand project milestones in 2005.

Thinking beyond meeting the require-ments for SOX IT may sound prema-ture for many IT managers, as the ITorganization is still learning whatimpact on the daily business SOX IThas. However, it is truly important notto miss the opportunity to support thebusiness in improving and automatingprocesses to increase value and toreduce compliance workload. IT canbecome a real value adding partner ifwe can master maintaining opera-tional controls and improving businessprocesses meanwhile. IT should aimto understand finance key controls tosupport business in defining lean pro-cess frameworks and to provideeffective and flexible IT solutions.2005 will be the first year to maintainand retest key controls, and manualtesting will be a major challenge forany business and IT organizations.


SOX IT: The Challenge beyondCompliance

The implementation of Sarbanes-Oxleyin 2004 was a compromise, as wecould impossibly implement the newregulation at all IT sites, and as we hadto focus on meeting critical key con-trols. Better understanding of theeffect on financial reporting by man-aging IT will require quite someresearch over the next few months,and all the work will lead into acompliance framework to stronglysupport business to run in an effective,flexible and safe environment. Auto-mation of key controls will reducecompliance costs over time for Busi-ness and IT.

Stefan LauxNovartis SOX IT Projectleader


12

Das Thema Corporate Governance hatdurch die Finanzskandale der vergan-genen Jahre erheblich an Bedeutunggewonnen. Um das Vertrauen der In-vestoren zurück zu gewinnen, sindunter dem Druck von Finanz- und Bör-senaufsichtsbehörden eine Reiheneuer Gesetze verabschiedet worden.Prinzipiell versteht man unter Corpo-rate Governance die verantwortungs-bewusste Unternehmensführung, dieunter Beachtung geltender Gesetzeund Vorschriften zu einer langfristigenWertsteigerung des Unternehmensführen soll. Dabei werden die folgen-den drei konkreten Ziele verfolgt:

� Compliance: Einhaltung von ge-setzlichen Vorschriften bei der Erstel-lung von Quartals- und Jahresabschlüs-sen.

� Transparency: Zuverlässige, ver-ständliche und nachweisbar richtigeBerichte des Finanz- und Rechnungs-wesens.

� Speed: Einhaltung kurzer Fristenfür die Erstellung von Quartals- undJahresabschlüssen sowie die Möglich-keit zur Transformation externer Infor-mationen basierend auf alternativenRechnungslegungsvorschriften wiebeispielsweise US-GAAP oder IAS.

Die Wirtschaftsprüfer analysieren ne-ben den Systemen des Finanz- undRechnungswesens auch alle Ge-schäftsprozesse, die in letzter Konse-quenz die Bilanz, GuV und Kapital-flussrechnung beeinflussen. Bei derAbschlussprüfung wird daher genauuntersucht, ob besonders sensible Pro-

zess-Schritte gravierende Fehlerquellenaufweisen oder sogar betrügerischeAktivitäten zulassen.

mySAP ERP unterstützt die CorporateGovernance Anforderungen durcheine Reihe von Anwendungen. Diemoderne Softwarearchitektur erfüllthöchste Ansprüche an die Zuverlässig-keit und Überprüfbarkeit von Quartals-und Jahresabschlüssen. Im Finanz- undRechnungswesen sind neben einemflexiblen General Ledger auch Anwen-dungen für die Abbildung von Trans-ferpreisen und das Closing Cockpit fürdie Automatisierung von Abschluss-arbeiten enthalten. Die KomponenteSEM beinhaltet Anwendungen für diegesetzliche und Managementkon-solidierung, Bilanz-, GuV- und CashFlow Planung, Strategie und Perfor-mance Management sowie RisikoManagement. Anforderungen desSarbanes-Oxley-Acts und vergleichba-re Regelungen anderer Länder werdenüber Anwendungen zum Manageninterner Kontrollen, Info-Systeme fürRevisoren und Wirtschaftsprüfer sowiedie Möglichkeit für Mitarbeiter anony-me Problemmeldungen zu erfassen zurVerfügung gestellt.

Konkret müssen sich CFOs den folgen-den Herausforderungen stellen, für diemySAP ERP ausgereifte und robusteLösungen bereitstellt:

1. IT Landschaft

mySAP ERP basiert auf der modernenIntegrationsplattform SAP NetWeaver,die eine dramatische Reduzierung der

Komplexität von integrierten Systemenin einer heterogenen IT-Landschaft er-möglicht.

2. Einhaltung von gesetzlichenVorschriften

Neben den bekannten Vorschriftenunterliegen eine Vielzahl von Firmenseit diesem Jahr dem Sarbanes-Oxley-Act. mySAP ERP unterstützt die Anfor-derungen zum einen durch eine robus-te Architektur mit einer Vielzahl vonkonfigurierbaren, Berichts- und Sicher-heitskontrollen. Die Anwendung Ma-nagement of Internal Controls unter-stützt gezielt SOA 404 Projekte, mitdem Ziel das interne Kontrollsystemnicht nur zu dokumentieren, sondernauch Design und Effektivität internerKontrollen zu bewerten und dem Ma-nagement und Wirtschaftsprüfertransparent zu machen. Mit demWhistle Blower können Mitarbeiterentdeckte Unregelmäßigkeiten ano-nym an das Audit-Board senden.

3. Unterstützungbetriebswirtschaftlicher undSystem-Audits

mySAP ERP bietet internen und exter-nen Prüfern mit dem Audit Informa-tion System eine Anwendung für diePrüfung in einem Umfeld von Massen-transaktionen.

4. Einhaltung von Vorschriftenzum Enterprise Risk Management

Die Auswirkung von Risiken auf wich-tige Unternehmenskennzahlen kön-nen mit dem SEM Risk Managementbeurteilt werden. Eine Anwendungzum Managen operativer Risiken(ORM) ist in Vorbereitung. Es ist ge-plant, ORM bereits in 2004 auf Projekt-basis einzelnen Firmen zur Verfügungzu stellen.


Bestmögliche IT-Unterstützungfür Corporate Governance durchmySAP ERP


13

5. Transparenz für Basel II

Die SEM Komponenten von mySAPERP unterstützen Industrieunterneh-men, die als Konsequenz aus Basel IIihre Kapitalkosten nur dann verringernkönnen, wenn Finanzinformationeninklusive Planzahlen transparent ge-macht werden,

6. Parallele Bewertung

Das General Ledger von mySAP ERPerlaubt die Erstellung paralleler Ab-schlüsse resultierend aus der gleichzei-tigen Anwendung mehrerer Rech-nungslegungsvorschriften wie zumBeispiel IAS/IFRS und HGB.

7. Fast Close

Das Closing Cockpit von mySAP ERPermöglicht durch die Automatisierungvon Abschlussarbeiten eine deutlicheVerringerung des Aufwands für dieErstellung von Quartals- und Jahres-abschlüssen.

Weitergehende Informationen könnenbei [email protected] angefordertwerden.

Marcus Wefers, Director SolutionManagement mySAP ERP, Waldorf

Erik Guldentops bespricht in der Aus-gabe Nr. 6/2004 des Information Sys-tem Controls Journals die Zusammen-hänge zwischen Basel II und der Infor-mationstechnologie. Besonders beein-druckt hat mich die Gegenüberstel-lung der Prinzipien der Basel II Verein-barung mit den Auswirkungen auf dieIT. Ich versuche an dieser Stelle, dieersten drei Prinzipien des Positions-papiers aus meiner Sicht mit provoka-tiven Fragen und konkreten Beispie-len zu ergänzen.

Prinzip 1

Der Verwaltungsrat muss sich der ope-rationellen Risiken bewusst sein undein operational risk managementframework genehmigen und perio-disch einer Review unterziehen.

Beinahe schon in Vergessenheit gera-ten: In den späten neunziger Jahrendes vergangenen Jahrhunderts warenviele Leute durch das Millennium-gespenst aufgeschreckt. Ich bin sicher,dass dies bis in die Chefetagen undzu den Verwaltungsräten durchdrang.Letztlich mussten ja Tausende, wennnicht Millionen von Geldeinheiten ge-sprochen werden, um der Drohungrechtzeitig zu begegnen. Damals be-fasste man sich also mit diesem einenAspekt des IT-Risk-Managements aus-giebig. Und heute? Sind jene Notplänein der Verstaubung versunken?! Ichhoffe nicht. Denn auch heute muss da-mit gerechnet werden, dass im Um-feld der IT-Phänomena auftreten, wel-che eine Normalverarbeitung des Da-tenmaterials verunmöglichen: Strom-ausfälle, Verarbeitungsfehler und -aus-fälle von Zulieferanten von Informa-


Basel II und die IT

tionen (Kreditkartenfirmen, Clearing-stellen, Bankdebitoren und -kredito-ren, usw.). Daneben sind aber immerwieder die neusten Entwicklungen zuberücksichtigen, zu denen ich nebenden politischen Gegebenheiten unddem daraus erwachsenden Personen-und Handelsschrankenabbau auchKlimaveränderungen und andere Na-turereignisse zähle.

Ich bezweifle ernsthaft, ob sich dieBankverwaltungsräte mit diesen Din-gen je befassen. Vielmehr lassen siesich von ihren Fachkräften in denSchlaf der Gerechten einlullen. Viel-leicht braucht es hin und wieder einJahr-2000-Gespenst. Wartet es hinterder nächsten Ecke?

Prinzip 2

Der Verwaltungsrat muss sich darübervergewissern, dass die Interne Revisionwirksam und umfassend prüft und sichauf einem hohen Stand der Ausbil-dung bewegt.

Verschiedene Institutionen (und dazuzählt auch die ISACA) verlangen vonihren Mitgliedern, dass sie sich nachErhalten eines Diploms weiterbilden.Die Institutionen halten in ihren Regel-werken fest, wie die Angemessenheitder Fortbildung zu erfolgen hat. Dienotwendigen Contact Hours oder Cre-dits können auf verschiedene Art er-worben und nachgewiesen werden;etliche davon beruhen auf einer Selbst-einschätzung der betroffenen Perso-nen (z.B. Selbststudium von Literatur).

Frage: Verlangen die Bankverwal-tungsräte je Auskunft über den Stand

Forensic

14

der IT-Qualität der Internen Revision?Wie sind sie allenfalls in der Lage, eineentsprechende Auskunft zu werten?Fordert Basel II hier nicht Erfüllbares?

Prinzip 3

Die oberste Geschäftleitung hat dasoperational risk management frame-work konsistent umzusetzen und dieentsprechende Politik, die Prozesseund die Verfahren zu entwickeln.

Ich stosse mich ein bisschen am Aus-druck „konsistent“. Leider weiss ichnicht, womit ich diesen Ausdruck mitder Umsetzung in Zusammenhangbringen soll. Ich nehme einmal an, dassdieses Rahmenwerk in allen flankieren-den Dokumenten, wie Mitarbeiter-handbüchern, Führungsmanuals, Stel-lenbeschreibungen, ja sogar Budget-richtlinien, Geschäftsberichten, VR-Protokollen, usw. verankert werdenbzw. Erwähnung finden müsste.

Bei den zu entwickelnden Prozessenund Verfahren stellt sich mir die Fra-ge, ob damit Tagungen gemeint sind,in welchen eine entsprechende Schu-lung betrieben wird. Die blosse Ernen-nung eines Compliance Officers kannja auch nicht die Antwort sein. Seineeinschlägigen Aktivitäten müssen be-schrieben werden, damit sie selbstauch kontrollierbar sind. Bisher habeich vergeblich bei betroffenen Firmengezielte, systematische und konkrete„Prozesse und Verfahren“ zur Risiko-verminderung, geschweige denn zurVerhinderung von Betrug gefunden.

Tun die heutigen Verwaltungsräte al-les dies? Vorschläge sind wohl gefor-dert.

Max F. Bretscher, CISA, CISM

1. Einführung

Die Anzahl wirtschaftskriminellerHandlungen steigt seit Jahren sowohlim Empfinden der Unternehmens-manager als auch nach aktuellen Stu-dien an, wobei die subjektive Steige-rungsempfindung, die sich in aktuel-len Studien widerspiegelt, erheblichüber der tatsächlichen Steigerungliegt. Aus diesem neuen Fokus aufdolose Handlungen und ihren Folgenlassen sich Fragen für die Unterneh-men ableiten, die geklärt werden müs-sen, um eine wirksame und ökono-misch angemessene Reaktion zu ent-wickeln:� Wer sind die Täter, welche Tatenwerden verübt und wie werden dieseTaten aufgedeckt?� Wie können dolose Handlungenbereits im Vorwege verhindert wer-den?� Welche Ermittlungsmethoden bie-ten sich bei Verdacht an und was mussbedacht werden?

2. Die Täter

Einheitlich zeigen alle aktuellen Berich-te zur Wirtschaftskriminalität eineüberwiegende Mehrheit interner Tä-ter. Externe Täter spielen, obwohl esje nach Deliktform natürlich Unter-schiede gibt, auch in Komplizenschaftmit internen Mitarbeitern nur eineeher untergeordnete Rolle.

Der interne Täter kann dabei aus je-der Schicht der Unternehmenshierar-chie kommen. Obwohl von absolutenZahlen her das Thema Management-Fraud eine geringe Rolle spielt, wan-delt sich das Bild, wenn man die mög-

Forensic

IT-Unterschlagungsprüfung

liche bzw. tatsächliche Schadenshöhebetrachtet, die „durch Manager“ ent-stehen kann.

Unabhängig von der hierarchischenPosition geht die einschlägige Litera-tur von einer Dreiteilung der Menschenunter ethischen Aspekten aus. Ein Vier-tel der Mitarbeiter eines Unterneh-mens sind dabei unbedingt vertrauens-würdig und unter keinen Umständenbereit, eine kriminelle Handlung zubegehen.

Die Hälfte der Menschen ist im Nor-malfall vertrauenswürdig.

Eine sehr gute Gelegenheit in Verbin-dung mit besonderen Situationen –z.B. Ärger mit dem Vorgesetzten –kann diese Personengruppe allerdingsin Versuchung und damit auch schluss-endlich zu kriminellen Handlungenführen.

Das letzte Viertel benötigt nur einegute Gelegenheit, um kriminell zuwerden.

3. Deliktformen

Wirtschaftskriminelle Handlungen prä-gen sich in verschiedenen Deliktfor-men aus. Eine große Menge der Vor-fälle gliedert sich in die Delikte:� Betrug� Untreue� Unterschlagung und� Diebstahl

Die genaue Abgrenzung der Delikteergibt sich aus den strafrechtlichenDefinitionen, wobei es in diesen Fäl-len um tatsächliche Verluste für das

Forensic

15

Unternehmen oder entgangene Ge-winne geht.

Beispiele sind hier z.B.:� die Zahlung von Geldsummen anden Täter über fiktive Kreditoren imRahmen eines fiktiven Geschäftes,abgewickelt durch den Täter;� Absprachen mit dem Lieferantenzum Nachteil des Unternehmens oder� schlichter Diebstahl von Vermö-gensgegenständen aus Lager oderBüro.

Häufig unterschätzt und zum Teilschwer abzugrenzen ist der Diebstahlgeistigen Eigentums. Dies beinhaltetnicht nur die Verletzung des Patent-rechts, sondern auch den Diebstahlvon Ideen bei der Behauptung imMarkt, z.B. im Marketing.

Zunehmend im Blickpunkt (alleinschon aufgrund der Schadenhöhe)sind die Delikte des „Cybercrime“, wiez.B. Hackerangriffe oder Virusinfek-tionen, aber auch die verbotene Nut-zung von IT-Funktionen, wie eMailoder Internet zu privaten Zwecken.

Weitere Deliktformen (zum Teil auchin Mischformen) in der Wirtschafts-kriminalität sind:� Bestechung/Begünstigung� Wirtschaftsspionage� Sabotage� Erpressung� Geldwäscheund die durch spektakuläre Fälle in denBlickpunkt gerückte� Bilanzfälschung.

Ein besonderer Trend, der sich beson-ders in konjunkturell schwierigen Zei-ten häuft, ist die kriminelle Handlung„für“ das Unternehmen, wie z.B. derBetrug am Kunden, um den Arbeits-platz bzw. das Unternehmen zu „ret-ten“. Dies geschieht zum Teil mit Wis-sen bzw. auf Veranlassung der Unter-nehmensleitung bzw. Ist auf verfehlteEigeninitiative der beteiligten Mitarbei-ter zurückzuführen.

4. Aufdeckung bzw.Verhinderung derStraftaten

Es zeigt sich, dass ein wirksames in-ternes Kontrollsystem der beste Schutzvor kriminellen Handlungen ist. Diesgilt sowohl für die Prävention als auchfür die Aufdeckung durch entspre-chende Kontrollen.

Der zweite überaus erfolgreiche Kom-missar ist der Zufall, der besonders beiwiederholten bzw. lang laufendenVerbrechen zuschlägt. Interne und ex-terne Hinweise, anonym oder auchnicht, sind eine weitere Säule der Tat-feststellung.

Die Prüfung von Sachverhalten durchdie interne bzw. externe Revision imRahmen von Routineprüfungen oderbei konkreten Verdachtsmomentenspielt ebenfalls eine bedeutende Rolle.

5. Prävention

Wie können kriminelle Handlungen imVorhinein verhindert werden?

In jedem Fall durch eine Mischung derMethoden und nicht durch eine ein-zelne Maßnahme.

Gefährdungsanalyse

Diese beinhaltet� Durchführung einer regelmäßigenAnalyse gefährdeter Bereiche.� Bewertung der Risiken und� Feststellung von Angriffspunktenfür externe und interne Täter.

IKS – Internes Kontrollsystem

Schaffung eines internen Kontroll-systems mit Komponenten der Fraud-Prävention und -Aufdeckung.

Richtlinien

Schaffung von ethischen Richtlinien imUnternehmen. Diese sollten praktischeAnweisungen beinhalten für den Um-gang mit unethischem Verhalten, z.B.die Reaktion auf versuchte Bestechungoder Meldewege bei der Aufdeckungvon kriminellen Handlungen.

Einrichtung von Meldewegen

Festlegung einer „Fraud-Hotline“ undFestlegung klarer Ansprechpartner fürdas Melden von kriminellen Handlun-gen. Eine klare und kommunizierteStruktur senkt die Hemmschwelle, diegerade historisch in Deutschland be-sonders hoch ist, unethisches Verhal-ten zu kommunizieren. Erfahrungenaus dem Ausland, z.B. aus den USA,wo Fraud-Hotlines stark verbreitetsind, zeigen, dass sie bei einer deutli-chen Verbesserung der Aufklärungs-rate zu keiner Verschlechterung desBetriebsklimas führen.

Schulung/Sensibilisierung

Neben Richtlinien und klar definiertenMeldewegen müssen Schulungendurchgeführt und Mitarbeiter sensibi-lisiert werden. Dies führt insgesamt zueiner deutlichen Verbesserung derSituation.

Externe/Interne Prüfungen

Nicht nur im Verdachtsfall, sondernauch zur Abschreckung sollten regel-mäßig im Unternehmen Prüfungendurchgeführt werden. Dies gilt beson-ders auch für Bereiche, in denen Herr-schaftswissen angehäuft wurde, z.B.in der Informationstechnik oder beimProduktmanagement, wo Abhängig-keiten und mangelnde Kontrollmög-lichkeiten den Einsatz von externenSpezialisten erfordern.

Forensic

16

6. Ermittlungsmethoden

Im Rahmen einer Untersuchung vonkriminellen Handlungen kommen ver-schiedene Ermittlungsmethoden zumEinsatz. Im Folgenden werden einigedieser Methoden vorgestellt. In jedemFall sollten solche Methoden aber ju-ristisch einwandfrei durchführt undvollständig, ggf. in Form eines Unter-suchungstagesbuches zeitgenau undzeitnah protokolliert werden.

Eine der wesentlichen Ermittlungs-methoden ist die Befragung von Be-teiligten. Diese Methode sollte immerim Beisein von Personen geschehen,die als Zeugen in Frage kommen. Sieist aber für verdeckte Ermittlungennatürlich nur bedingt geeignet. Es istdringend darauf zu achten, dass nichtin Folge einer Befragung Beweismittelvernichtet werden oder die eigene ju-ristische Position in Frage gestellt wird.

Oft genannt, aber in einem komple-xen IT-Umfeld oft überschätzt, ist dieBeobachtung. Beobachtung ist in derRegel verbunden mit der Überwa-chung von Personen durch Personen.In einschlägigen medialen Darstellun-gen werden Beobachter dabei meistmit Trenchcoat und Schlapphut darge-stellt. Dies macht auch gleich die Pro-blematik in Verbindung mit der Über-wachung deutlich: Eine Überwachung,ohne dass der Verdächtige sie be-merkt, ist zumindest aufwendig.

Für den Revisor eine der wesentlichs-ten Möglichkeiten Beweise zu erlan-gen, ist natürlich die Analyse von (fi-nanziellen) Daten und die Sichtungund Sammlung von Dokumenten.

7. ERP-Systeme (SAP R/3) –Entdecke dieMöglichkeiten

Durch die durchgängige Datenbasisund den hohen Integrationsgrad desSystems, wird die Ermittlung in einem

Verdachtsfall beim Einsatz von ERP-Systemen, wie SAP R/3 signifikant er-leichtert.� SAP bietet umfangreiche Möglich-keiten der Online- bzw. Offline-Über-wachung von Benutzern und Prozes-sen;� SAP bietet die Möglichkeit, Datenzu exportieren und mit Revisions-software zu analysieren.

Zur Verdeutlichung der Möglichkeitenhier u. a. Beispiele der Ermittlung mitDatenanalyse auf Basis von SAP-Da-ten in den einzelnen SAP-Modulen:

Basissystem

BenutzerüberwachungÜber das Systemmonitoring bietet SAPdie Möglichkeit einer sehr detailliertenProzessüberwachung. User und Trans-aktionen können Online überwachtwerden. Damit kann eine Beobach-tung von Verdächtigen ohne direktenphysischen Kontakt und damit derGefahr der Entdeckung realisiert wer-den.

TabellenprotokollierungÜber die aktivierte Tabellenproto-kollierung und die Auswertungen derSystemprotokolle können über dieStammdatenänderungsbelege hinausAnhaltspunkte für dolose Handlungenermittelt werden, z.B. durch die Än-derung von Zahlungsbedingungen.

User mit kritischen BerechtigungenUser mit kritischen Berechtigungen(SAP_ALL, SAP_NEW etc.) könnenidentifiziert werden.

BenutzerBenutzer, die obwohl längst aus demUnternehmen ausgeschieden, nochaktiv sind, können identifiziert werden.

Änderungsbelege BenutzerBenutzer, die temporär mit Super-User-Rechten ausgestattet wurden oderBenutzer, die insgesamt nur kurzfristig

eingerichtet wurden, können identifi-ziert werden.

ProgrammentwicklungÜber eine Stichprobe (oder eine Voll-textsuche) kann in eigenentwickeltenSAP-Programmen nach einer Umge-hung der Berechtigungsprüfung ge-sucht werden.

Hauptbuch

Belegkopf (Tabelle BKPF)Der Belegkopf des SAP-Systems ist einkleiner Schatz für den Ermittler. ImBelegkopf werden verschiedene wert-volle Informationen zur Belegerfas-sung vermerkt, z.B. finden wir hier:� den Erfasser der Transaktion� Erfassungsdatum und Uhrzeit� Belegdatum� Transaktionsname und die� Belegart als Kennzeichen für denGeschäftsvorfall

Fragestellungen, die mit diesen Datenbeantwortet werden können, sind viel-fältig:� Häufungen von Geschäftsvorfällen(z.B. Gutschriften) pro Benutzer;� Erfasser, die nicht im Netzwerk an-gemeldet sind (in Verbindung mit Pro-tokolldaten);� Buchungen an Feiertagen und zuungewöhnlichen Uhrzeiten (z.B. nach23:00 Uhr);� Große Abstände zwischen Erfas-sungs- und Belegdatum;� etc.

Kreditorendaten

Kreditorendaten sind in vielen Unter-nehmen entscheidend für den Abflusswesentlicher liquider Mittel. Als Basisfür viele Auswertungen kann eineKombination aus Stamm-, Bewe-gungs- und Änderungsdaten genutztwerden, wie z.B. das Kreditoren-verzeichnis (Report RFKKVZ00), dieKreditoreneinzelpostenliste (Report

Forensic

17

RFKEPL00) und die Änderungsbelegefür Kreditorenstammdaten (ReportRFKABL00).

Fragestellungen:� Häufige Stammdatenänderungen� Änderungen der Bankverbindung� Kreditorenbankverbindung =Mitarbeiterbankverbindung (z.B. ausSAP HR)� Häufungen von Zahlungen untereinem Zahlungslimit� Abwicklung über CPD-Konten

Debitoren

Debitorendaten sind, besonders wennes z.B. um Gutschriften und andere„besondere“ Geschäftsvorfälle geht,ein lohnendes Untersuchungsziel.Hierzu bietet sich besonders die Debi-toreneinzelpostenliste an (ReportRFDEPL00).

Fragestellungen:� Kreditorische Debitoren� Anleger ist einzig Buchender� Hohe Anzahl von Gutschriften/Re-touren pro Vertriebsmitarbeiter� Änderung von Zahlungsbedin-gungen

8. Geschnappt…und dann ?

Verhärtet sich der Verdacht durch Be-weise, sind entsprechende Maßnah-men einzuleiten. Wesentlich ist dabei,vorbereitet zu sein!

In jedem Fall sollte ein vorbereiteterMaßnahmenkatalog existieren, der imFalle einer kriminellen Handlung an-gewandt wird. Der Zeitfaktor ist in Hin-sicht auf Beweismittelsicherung undmögliche Regressforderungen ein we-sentlicher Faktor. Checklisten bzw.Maßnahmenkataloge müssen dabeinicht neu erfunden werden, sondernfinden sich in der einschlägigen Lite-ratur oder im Internet.

Erster Schritt im Fall einer identifizier-ten dolosen Handlung sollte die Ein-berufung eines interdisziplinären„Fraud“-Teams sein. Das „Fraud“-Team besteht aus Ermittlungsspezia-listen, Juristen, Mitarbeitern betroffe-ner Fachbereiche – soweit Prozess-kenntnisse von Nöten sind – und Mit-gliedern der Geschäftsleitung.

Eine erste Ausmaßabschätzung solltein Verbindung mit der Beweismittel-sicherung und ersten Befragungen er-folgen. Das Thema einer möglichenVerleumdungsklage sollte dabei stetsbedacht sein.

Betroffene verdächtige Mitarbeitersollten sofort freigestellt werden. Jeg-liche Zugangsmöglichkeiten sowohl zuSystemen als auch zu Räumlichkeitensind sofort zu unterbinden. Arbeits-rechtliche Maßnahmen sind in der Fol-ge einzuleiten, speziell bei fristlosenKündigungen ist auf ein formal richti-ges Verfahren zu achten, z.B. ob diePerson, die die Kündigung ausspricht,auch dazu berechtigt ist!

Ist die kriminelle Handlung vom Unter-nehmen bewältigt, in welcher Formauch immer, sollte sich die Organisa-tion als lernend erweisen und das IKSentsprechend verbessern, um zukünf-tige Vorfälle zu vermeiden.

9. Fazit

Dolose Handlungen sind ein Problemmit Zukunft! Auch in den nächstenJahren werden kriminelle Handlungenzunehmend von starker Bedeutung fürdie Unternehmen sein.

Dies führt zu einem Handlungsbedarf,speziell auch in den Bereichen der Prä-vention von Delikten und der rechtzei-tigen Vorbereitung durch Maßnah-menkataloge und Notfallpläne.

Um im Falle eines Verdachts erfolgreichErmittlungen durchzuführen, könnenmoderne ERP-Systeme wesentlich zuErmittlungserfolgen beitragen. Hierzahlt sich die funktionale und daten-technische Integration für den Er-mittler aus.

Holger KlindtworthCISA CIA CISM Dipl.-Inf.Susat & Partner [email protected]

0

2

4

6

8

10

12

14

% B

uchu

ngen

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25Stunde

Abb: Verteilung des Buchungsstoffes über die Stunden am Tag (Erfassungsstunde)

The ISACA Crossword Puzzle

18

The ISACA Crossword Puzzle 1/05

Dieses Rätsel ist auf deutsch und hatmit dem Schwerpunktthema dieserNummer zu tun. Autor ist der Redak-tor. Lösungen, Kommentare und Re-klamationen sind an ihn zu richten.

Waagrecht: 1 Fiel einst vom Himmel;5 Eskimoapostel; 8 Tageszeit; 12 ver-loren (engl); 14 Verschwörung (engl);15 Tuberkulose; 17 abmachen; 19 frzAG; 20 Blasinstrument; 22 Gewässer;23 der Balkanfluss ist nicht draussen;25 Kosewort der Artillerie; 26 Tempe-raturbezeichnung; 25 Futterstelle; 31typisches Engländergetränk; 32 Militär-platz im Tessin; 35 Spezialarzt; 37babyl Erdgott; 38 mehrfach beteiligt(engl); 39 Einzelzimmer; 41 Ritze; 43Gestalt aus Schillers Don Carlos; 45eben nicht nostro; 47 Klostervorsteher;49 Westeuropäer (Mz); 50 Mündungs-arm des Rheins; 52 damit befassensich die Vorschriften; 55 metallischesElement; 57 Honig (frz); 59 Kapitaler-trag; 60 Flächenmass (Mz); 62 multip-le Sklerose; 63 Schwermetall; 64 Werkvon Emile Zola; 65 trägt Fridolin imWappen; 67 der Unionsgeneral hatsich dem Wind abgekehrt; 68 einge-deutschte Sauce; 71 Common TaskTest; 73 Bandbreite; 76 Geldsumme;78 Zeitbegriff (Mz); 79 mit diesen 26senkrecht befassen sich die Vor-schriften; 83 Nadelbaum; 84 Not; 86griech Buchstabe; 87 der ehemaligeAutorennfahrer Al ist im christlichenGebet im Zusammenhang mit Vater zuvernehmen; 88 noch (engl); 89 verzie-ren; 90 Transaktionsnummer.

Senkrecht: 1 Bundesrat im zweitenWeltkrieg; 2 AZ aus Westeuropa; 3entstehende Sonne; 4 nordische Gott-heit; 6 Gotthelf brachte ihn mit Geldin Verbindung; 7 Soll; 8 engl Biersorte;

9 der bekannteste ist wohl James; 10und (lat); 11 röm Göttin; 13 englSchwänzer; 14 mit a zum vornhinein;16 grobe Sackleinwand (engl); 18 AZaus der Westschweiz; 19 Verschluss-art; 21 „lebende“ Vorsilbe; 24 roteTeamorganisation; 26 zentrales Ele-ment der Vorschriften; 27 inhalts-los; 29 Peitsche; 30 Beherrschung; 33grosses Lager; 34 eben nicht Oxley;36 Aufforderung zur Auferstehung; 37Grautier; 40 Garnitur; 42 umgangs-sprachlicher Trinker; 44 das span Zahl-wort fährt auch Velo; 46 kurzes Werk;47 Flächenmass in der Schweiz; 48 dreigleiche Konsonanten; 49 eine der Ge-liebten des Göttervaters; 51 Ort beiChur; 53 säte in der Antike Zwietracht;54 nicht diese (i=j); 56 schmal imDurchlass; 58 Flächen; 61 Nagetier(Mz); 62 Stangen; 66 sich temporär

niederlassen; 67 Vorrat; 69 anpeilen;70 Art (Mz); 72 traurig; 74 Stange(span); 75 Nahrungsmittel; 76 AZ ausder Hauptstadt; 77 Einwand; 80 Nord-deutscher Rundfunk; 81 ErzieherSamuels im AT; 82 Bezeichnung einerWalart; 85 lautloser englischer Hund;97 frz Zahlwort.

Die Lösung liegt in den markiertenFeldern. Dieses Wort ist auf einer Post-karte zu senden an M.F. Bretscher,Oberrenggstrasse 8, 8135 Langnau a/A. Lösungen werden auch entgegen-genommen unter der [email protected]. Einsende-schluss ist der 14. März 2005.

1 2 3 4 5 6 7 8 9 10 11

12 13 14

15 16 17 18 19

20 21 22 23 24

25 26 27 28 29 30 31

32 33 34 35 36

37 38 39 40

41 42 43 44

45 46 47 48 49

50 51 52 53 54 55 56

57 58 59 60 61

62 63 64 65 66

67 68 69 70 71 72

73 74 75 76 77

78 79 80 81 82 83

84 85 86 87

88 89 90


19

If there are less than 5 answers, or thesolution has not been found, the $US50 go into the Watson Jackpot to becarried forward to the next issue.Watson: Each puzzle contains someanomaly that is to be detected. Ifcorrectly identified, the Watson Jack-pot is broken and replenished with$US 50 for the next issue.

Lösung Crossword Puzzle 5/04:Bonn am Rhein

Across: 1 archangels; 9 has; 10 ore; 11 Ru;

12 Pankow; 14 abash; 16 Erin; 17 TNT; 19

ave; 20 Munich; 22 saves; 24 USS; 25 hem;

27 can; 28 mariner; 31 pie; 33 AO; 34 III; 36

Saxons; 38 stand; 40 cis; 41 red; 42 ce; 43

chil(e); 45 d.h.; 46 emir; 48 hot; 49 Main;

51 at; 52 OBerliner; 55 EB; 57 lo; 58 serin;

60 itsi (bitsi, teeny weeny); 62 votes; 64 GBN;

66 beret; 67 II; 68 yachts; 69 SSSSS.

Down: 1 ax(e); 2 chains; 3 Hanni; 4 ask; 5

gown; 6 er; 7 Lea; 8 Bushes; 11 raven; 12

Prussia; 13 other; 15 Bavaria; 16 emu; 18

TS; 21 chains; 23 ace; 16 Mia; 29 nose; 30

Eider; 31 psychology; 32 excite; 34 IA; 35

incite; 37 oil; 39 TDE; 41 Rhine; 44 hobo; 45

daisy; 47 ma; 49 ML; 50 nerves; 53 rat; 54

riots; 56 basis; 59 NT, 61 SBT; 63 Eis; 65 Ba.

English crossword puzzles seem tohave it not very easy: Not more thanfive answers…

Watson: Maybe it was too obvious,maybe it was too confusing, maybe itwas too difficult: The shaded squaresform the shape of today’s Germany.Anyway, nobody saw it. Jackpotincreased to $US 200.00! Just for thehell of it: Here is another crosswordpuzzle that shows the contours ofGermany again, this time is thecrossword puzzle in German, too. Bothcrossword puzzles have the chance ofwinning.


20

Waagrecht: 1 AZ Karlsruhe; 3 Ein-schaltknopf; 4 Behältnis; 7 kurzeGrossstadt; 10 Hinterhältigkeit; 11Fallwind in Dalmatien; 12 39 senkrechtist eine; 15 die Stadt in Finnland istauch „down under“ anzutreffen; 16Gegenspieler Luthers im mittelal-terlichen Deutschland; 18 tonlosesRohr; 19 kurzer Lebenslauf; 20 ist süss,sagt man; 22 anhänglich; 23 bei ge-heimer Abstimmung unerlässlich; 25Gliedmassen; 26 gr Buchstabe; 27kurze frz Heilige; 29 CZ Zinn; 30 frzNegationsteil; 32 arab Artikel; 33 Lau-bengang; 36 kurzes Segment; 38Prunkwagen; 41 alles andere alsschwach; 44 wo man den Ausdruck„Saupreuss, damischer“ hörenkann; 46 deutscher Ostseehafen;47 Raummeter; 48 engl Ohr; 49 kur-ze Ehrenfahne; 50 gr Luft; 51 mit 53waagrecht zusammen ein deut-scher Hansestadtstaat; 53 siehe 51waagrecht; 54 Hindernis; 56 Kunst-gips; 59 Engelsbezeichnung (ph = f);

61 frz Windrichtung; 62 Schicksal; 64ägypt Sonnengott; 65 fränkischeFlurbezeichnung; 66 Tells Geschoss;69 Leichathletikclub; 70 jungesSchwein; 73 der Tierteil kann sich beimunsorgfältigen Umblättern ergeben;76 Sage; 77 zeitweise auch in 1senkrecht zu hören; 78 AZ Schweiz;79 aus (lat); 81 kurzer Krafttrank; 82böse Fehler; 86 Europameisterschaft;88 drei gleiche Vokale; 89 es (engl);90 jap Ureinwohner; 92 ehemaligesSchweizer Ski-As (Philippe); 93 mitangehängtem TE ein Kartenspiel; 95zwei gleiche Vokale; 97 Berg bei Lu-gano; 98 beim Regierungswechselein politisches Schlagwort inDeutschland; 100 Prüfer; 103 derBefehl zu 98 waagrecht; 105 derBusinessboss; 106 engl Zahlwort; 107reell; 110 lange Leine; 111 sollte maneigentlich nie sagen; 112 Ruder-gemeinschaft; 113 kurz: Die GrandeNation.

Senkrecht: 1 Deutsche Grossstadt;2 Werk von Sophokles; 5 benützen(engl); 6 unser Studiengebiet; 7 grie-chisch (frz); 8 deutsche Gegend,möglicherweise Ursprungsland antikerBriten; 9 Süssspeise, JFK behaupte-te, einer zu sein; 11 poetische Quel-le; 13 Gemeinschaften; 14 Nachlass-empfänger (Mz); 15 ehemaligeAutorennstrecke der 9 senkrecht;17 AZ Kempten; 21 was das Wildhäufig tut: es ...; 22 Eimer; 24 ehem.Rundfunksender aus der Haupt-stadt; 26 mit vorgesetztem 79 waag-recht der Entdecker im Genitiv; 28Preistabellen; 31 nicht nur seit Sarba-nes-Oxley ein wichtiges Studienobjekt;32 Langschwanzpapagei; 34 Was derGott bei der Erschaffung der Kreaturwohl befiehlt; 35 Fehler (engl, Mz); 37was der schnelle Fahrer gemacht hat;39 gr Göttin der Zwietracht; 40 derHanseat muss von 46 waagrechtnach 51 waagrecht auf dem See-weg dort durch; 41 ein Arminia-Bundesligaklub ist dort daheim; 42relativ langer Zeitabschnitt; 43 tonlo-ses nimmt; 45 Obstfrucht (Mz); 46 dieSchlange im Dschungelbuch; 51 sehrkurzes Lachen; 52 rülpsen (engl); 54ihre (frz); 55 nordisches Nutz- undWildtier; 57 Postwertzeichen (Mz); 58„out of Rosenheim“; 60 Flugkörper(Mz); 63 AZ Finnland; 67 Bruder Ja-kobs im AT; 68 AZ Landsberg; 69Flamme; 71 Ernst Meier; 72 pers Für-wort; 74 auf Neudeutsch: „look“; 75Heiland; 80 CZ Xenon; 83 der mit demroten Büchlein; 84 schrieb der Römerfür eins und eins; 85 mit angehäng-tem b ein Fluss in Deutschland; 87die geheime südliche Hauptstadt;91 sagenhafter Ritter; 94 Verlies; 96Witzfigur aus der Hauptstadt; 97Aufforderung zum Apport; 99 Ersatz-ordnung; 100 Laut; 101 Tennissatz;102 Kahn; 104 span Artikel; 108Rekrutenschule; 109 dort (it).


21

1 2

3

4 5 6 7 8

9 10 11

12 13 14 15 16 17

18 19 20 21

22 23 24

25 26 27 28

29 30 31 32 33 34 35

36 37 38 39 40

41 42 43 44 45

46 47 48 49

50 51 52 53 54 55

56 57 58 59 60 61

62 63 64 65

66 67 68 69 70 71 72

73 74 75 76

77 78 79 80 81

82 83 84 85 86 87

88 89 90 91

92 93 94 95 96

97 98 99

100 101 102 103 104 105

106 107 108 109

110 111

112 113

Express Line

22

Express Line

A Word from the Chair

Greetings and Happy New Year! As areminder, please be advised thatsecond invoices will be sent tomembers in late January. As was thecase last year, members can alsochoose to renew online.

Sunil BakshiChair, Membership Board

Certification Update

The audit for documentation of 2003continuing professional educationactivities has recently begun. Arandomly selected group of CertifiedInformation Systems AuditorTM (CISA)holders has been sent an audit letterrequesting written support documen-tation for 2003 continuing professionaleducation hours. If any of your chaptermembers have questions about the2003 audit request, please have themcontact the certification department [email protected] or +1.847.253.1545, ext. 471, 403or 474.

CISA and CISM® Pins

New this year, all chapters were sentCISA and Certified InformationSecurity Manager® (CISM) pins fordistribution to ISACA members whowere newly certified from 1 January2003 through 30 November 2004.These pins and a list of the newlycertified members were shipped to allchapter presidents in December. Allindividuals who are not members ofthe association were contacted via e-

mail and advised to contact the localchapter if they wish to receiverecognition of their certification and apin. Please contact the certificationdepartment at [email protected] +1.847.253.1545, ext. 403, 474or 471, with any questions concerningthe pins.

2005 Bulletins ofInformation

Please advise potential CISA and CISMcandidates that a copy of the 2005Bulletin of Information for each certi-fication can be downloaded fromISACA’s web site (www.isaca.org) orrequested from the certificationdepartment at [email protected].

2005 Exam Registration

Exam registration forms for the 2005CISA and CISM exams are now beingreceived. Please remind candidates tosubmit their registration forms quicklyand encourage them to save US $35by registering online. Registrationdeadlines for the 2005 exams are:Early: 2 February 2005Final: 30 March 2005

CISA Job Analysis

The CISA job analysis project wasrecently completed and the resultsreported to ISACA’s CISA CertificationBoard in November. Through a seriesof meetings, focus groups, interviewsand surveys, a current view of the tasksperformed by CISA holders and theknowledge required to perform these

tasks was determined and validated.The results will help ensure that theCISA exam continues to meet thehighest standards for professionalcertification and is representative ofthe work and knowledge required ofCISA holders in practice. The resultswill be posted to the ISACA web sitein June 2005 and will serve as the basisfor the 2006 CISA exam.

New CISM Job PracticeAnalysis Begins

ISACA has begun a CISM job practiceanalysis study to update the criteriaused to certify and examine CISMcandidates. As part of this process, aseries of task force meetings and focuspanels has been scheduled to gatherinformation from experienced practi-tioners. The initial task force meetingis scheduled for January 2005, andwork should be complete by the endof 2005. Results will be implementedbeginning with the 2007 exam.

2005 CISA and CISM ExamReference Materials

CISA Review Manual 2005, CISA Re-view Questions, Answers & Explana-tions Manual 2005 (550 questions),CISA Review Questions, Answers &Explanations Manual 2005 Supple-ment (100 questions) and CISM Re-view Questions, Answers & Explana-tions Manual 2004 are also availablein English. For information aboutavailability in other languages, pleasesee www.isaca.org/cisabooks.

Forum

23

Forum

… and you think SOX istough!

On November 17, 2004 the last „after-hour-seminar“ of the ISACA Switzer-land chapter took place at the familiarand „historic“ Landesmuseum inZurich. Dr. Hans-Beat Jenni of Swiss-medic presented the nature andcharacteristics of „Computerized Sys-tem Validation in the PharmaceuticalEnvironment“.

The term Computerized Systemsencompasses hardware, software,environment, users, interfaces, docu-mentation and, last but not least,validation. I suspect that a parallelcould be drawn if auditors had to ex-press their opinion not only on internalcontrols (as in SOX or Basel II, ex-pressing their opinion on the exacti-tude of managements’ statements inthis connection), but also on thequality of internal audit.

The audience was more or less stunnedto get an insight into the severity withwhich controls have to be im-plemented and quality assured in thisindustry. It dawned on many a par-ticipant that pharmaceutical productsare not necessarily expensive becauseof their intrinsic value, but because ofthe immense development andprocess maintenance cost. Dr. Jennicited examples where investments ofmillions of dollars had to be ditchedbecause a lack of control or qualityassurance had been discovered andcould not be repaired.

It probably was clear for everyone thatthe hospital and pharmaceuticalbranches need special care and

supervision because not only healthand wellbeing, but life itself is at sta-ke. One would expect that govern-ment supervision bodies would takean active role and send legions ofauditors to the production plants andhospitals. Not so. A series of „GoodPractices“ (laboratory, manufacturing,distribution and clinical ones), here-after GxP, form the basis of the „codeof ethics“ of the industry. The prin-ciples have been approved by theOECD as well as countries around theworld. As new developments areoccurring all the time it was agreedthat amendments or appendices to thebasic protocol would be added in orderto avoid tiresome and onerousprocedures in legal battles throughparliaments around the globe.

What impressed me the most was thestatement by Dr. Jenni that the in-spection (by Swissmedic) focuses onthe person(s) charged with the QualityAssurance rather than e.g. themechanics of production themselves.Moreover, a global view and approachof the system is preferred against detailverifications. The inspector is trainedto find deviations rather than approvesystems as such.

As the enterprises in this industry needa license to produce, sell and/oroperate, they strive to adhere to theGxP. The development evolves furtherall the time, and compliance with rulesof all countries into which products areexported have to be adhered to. Wow.In just a short time Dr. Jenni succeededin making his mark: SOX is just regard-ing financial facts and figures, the GxPaddresses „everything“.

I am looking forward to the interestingtopics of the after hour seminars in2005!

Max F. Bretscher

DACH-News

24

DACH-News

D: Aktivitäten des GermanChapters

Ein weiteres Jahr der Vorstandsarbeitist nun beinahe vorüber und in Kürzesteht wieder die Mitgliederversamm-lung des ISACA German Chapters an.Diese wird am 11. März 2005 in Frank-furt am Main stattfinden. Der Vorstandmöchte alle Mitglieder hierzu ganzherzlich einladen und hofft auf einerege Teilnahme. Wie in den Vorjahrenwird allen Mitgliedern noch eine ent-sprechende schriftliche Einladung perPost zukommen. Bis dahin wird derVorstand weiter aktiv den Verein vor-antreiben.

Zum NewsLetter 4/2004 möchte icheine fälschliche Angabe zum Autorendes Artikels „Die Linux Audit Group –ein Erfahrungsbericht“ richtig stellen.Der Artikel wurde natürlich nicht vonmir geschrieben, sondern von HerrnNeuy, der mit großem Einsatz das The-ma im Rahmen des ISACA vorange-trieben hat und ohne den sowohl dasErgebnis wie auch dieser Artikel niezustande gekommen wäre. Herr Neuy,vielen Dank noch einmal von dieserSeite.

Abschließend möchten wir wieder ein-mal alle diejenigen Mitglieder anspre-chen, die interessante Projekte oderauch wissenschaftliche Themen bear-beiten oder bearbeitet haben. Schrei-ben Sie doch einfach einmal einenArtikel für den NewsLetter und lassenSie andere auch ein wenig an IhrenPraxiserfahrungen oder dem erworbe-nem Wissen teilhaben. Wenn Sie Fra-gen dazu haben sollten, können Siedas Vorstandsmitglied Ingo Struck-meyer jederzeit gern kontaktieren

([email protected]).Sie werden sehen, es ist gar nicht soschwer, einen interessanten Artikel zuschreiben. Allen Autoren des letztenJahres möchten wir an dieser Stellenochmals für ihre wirklich gelungenenArtikel danken. Insbesondere möchteich all denjenigen danken, die am ers-ten NewsLetter des German Chaptermitgewirkt haben.

Ingo StruckmeyerVorstand German Chapter

CH

100. Vorstandssitzung desISACA SwitzerlandChapter

Am 14. Dez. 2004 hat die Präsidentinzur 100. Vorstandssitzung eingeladen.Zwischen der ordentlichen Sitzung unddem köstlichen Mittagessen versam-melten sich der Vorstand und dasRedaktionsteam zum Fototermin imLichthof der SwissRe.

Im 15. Jubiläumsjahr des ISACA Swit-zerland Chapter war der Vorstand mitder Durchführung der EuroCacs 2004in der Schweiz besonders gefordert.Weiterhin beschäftigten uns auch dasAusbildungsangebot und unsere„Kundeninterfaces“: vor allem derWebauftritt hat sich im 2004 markant

Vordere Reihe v.l.n.r.: Max Bretscher & Francesca Lüscher Baglioni (Redaktionsteam), Pierre Ecoeur,

Daniela Gschwend (Präsidentin), Bruno Wiederkehr

Hintere Reihe v.l.n.r.: Thomas Bucher, Michel Huissoud, Rolf Merz, Peter Bitterli

DACH-News

25

verbessert und die Auflage des News-Letters wurde wiederum gesteigert. Siehalten nun die Nummer 72 vom News-Letter in den Händen, die mittlerweilean rund 1100 Mitglieder der ISACAChapter CH, D und A verteilt wird.

Das End-Jahres Meeting diente zu-gleich dazu, die Ziele, Termine, The-men, Beiträge, Ausbildungen und Ver-anstaltungen für das kommende Jahrfestzulegen. Auch die ISACA als Non-Profitorganisation muss die Kostensowie die Qualität im Auge behalten.Nichts Neues werden Sie sagen, klar.Wir haben uns neben den Ausbil-dungs- und Marketingthemen vor al-lem mit der Balance zwischen Attrak-tivität des Newsletters versus zusätzli-che Gestaltungskosten befasst. DasResultat werden Sie demnächst sehen.

Wir haben uns vorgenommen, dasswir alle Bilanz ziehen über die Quali-tät, mit der wir unsere Mitglieder be-dient und unsere Interessenten erreichthaben. Und da die Jahreswende nor-malerweise nicht nur „Bilanz ziehen“,sondern auch „gute Vorsätze fassen“bedeutet, fragen wir uns, wie wir un-sere Beziehungen zu unseren Mitglie-dern und Interessenten verbessernkönnen. Mit der Teilnahme an unse-rer GV in Biel bietet sich eine guteGelegenheit, mehr darüber zu erfah-ren. Reservieren Sie sich schon heutedas Datum des 17. März 2005.

Der Vorstand und das Redaktionsteamwünscht Ihnen ein erfolgreiches NeuesJahr. Wir freuen uns, Ihnen im 2005erneut relevante, aufschlussreiche undanregende Beiträge sowie professio-nelle Ausbildungsveranstaltungen an-bieten zu können. Um dieses Ziel zuerreichen sind wir selbstverständlichweiterhin auf Ihr freiwilliges Mitwirkenund kritischen Feedback angewiesen.

Bruno Wiederkehr

Neue Horizonte in der ICTAusbildung

Die Information Systems Audit andControl Association (ISACA) ist eineweltweite Vereinigung von Fachleuten,die sich mit Governance, Sicherheit,Kontrolle, Revision und Managementder Informations- und Kommunika-tionstechnologie (ICT) befasst. DieISACA besteht aus über 40’000 Mit-gliedern in mehr als 100 Ländern.

Rund 12’700 Kandidaten haben welt-weit an den CISA- und CISM-Examenvom 13. Juni 2004 teilgenommen.Davon haben 53 %, d.h. rund 6’700Kandidaten, die CISA-Prüfung („Certi-fied Information System Auditor“) be-standen; bei der neuen CISM-Prüfung(„Certified Information Security Mana-ger“) waren es rund 73% (also gut500) der rund 600 Kandidaten.

Hervorragend hingegen sind die Zah-len in der Schweiz: die Erfolgsquotevon 95% der am Schweizer CISA-Kursteilnehmenden Kandidaten ist ausge-zeichnet und hat den Landesdurch-schnitt auf immerhin rund 80% hoch-gedrückt; beim CISM-Kurs waren esimmer noch respektable 85%. Dieszeigt einerseits das hohe Niveau derfachspezifischen Berufskenntnisse inder Schweiz und andererseits die er-

reichte Qualität der vom ISACA Swit-zerland Chapter gemeinsam mit ITACSTraining angebotenen Zertifikatskurse.

Ein CISA muss in sieben verschiede-nen Schwerpunktbereichen seineKenntnisse nachweisen: Neben derInformatik-Revision sind dies u.a. Füh-rung, Entwicklung sowie Unterhalt derInformatik, Informations- und Kom-munikationstechnologie, Sicherheit,Kontrolle, Geschäftskontinuität usw.

Ein CISA setzt sich im gesamten Infor-matikumfeld sehr intensiv mit den je-weiligen Risiken, Sicherheitsanforde-rungen und möglichen Massnahmenauseinander. Dabei befasst er sichinsbesondere mit der Frage, ob die Ri-siken durch angemessen Vorkehrun-gen abgedeckt sind, um die Geschäfts-ziele effektiv und effizient zu erreichen.

Die Tendenz der weltweit an der Prü-fung registrierten CISA’s ist weiterhinsteigend.Beim relativ neuen CISM-Berufsbildliegt der Focus beim Management derInformationssicherheit, beim Risiko-management und beim Response-management, wobei eher die organi-satorischen als technischen Fragen imVordergrund stehen.

Das Interesse an den beiden Zertifikats-kursen und die hohe Erfolgsquote ist

0

2 0 0 0

4 0 0 0

6 0 0 0

8 0 0 0

1 0 0 0 0

1 2 0 0 0

1 4 0 0 0

1 6 0 0 0

9 5 9 8 0 1 0 4

C I S AA n m e l d u n g e n

Quelle: CISA Exam Bulletin of Information 2005

DACH-News

26

ein Indiz dafür, dass sich die Schweizauf die steigenden Anforderungen imBereich Revision und Sicherheit vorbe-reitet. Die Ausbildung im ISACA-Kurserfolgt in einer idealen Mischung ausPräsenzunterricht, Selbststudium undzu lösenden Aufgaben („Blended Lear-ning“). Der 17tägige CISA-Kurs (CISM-Kurs: 13 Tage) ermöglicht somit eineneffizienten und zielorientierten Wis-sensgewinn. Die Vorbereitungskursehaben bereits begonnen. Weltweit fin-den die Examen einmal im Jahr jeweilsMitte Juni statt. Anmelden kann mansich bis 30. März 2005 unterwww.isaca.org.

Die ISACA selbst verfügt über eineenorme Wissenssammlung, welcheweltweit den Mitgliedern für die prak-tische Umsetzung zur Verfügung steht.Dies betrifft zum Beispiel die Einfüh-rung neuer Regulative, wie Basel II,Sarbanes-Oxley-Act, welche unweiger-lich zu Zusatzaufwänden in der ICTführen. Daneben gibt es unzähligeDokumente zur Beherrschung dertechnologie-bedingten Risiken (Viren,Spam und Phishing-Attacken usw.).

Das ISACA Switzerland Chapter hatgegenwärtig 600 Mitglieder. Mit derletztjährigen Zunahme von annähernd20% und als anerkannter Leader in ITGovernance hat die ISACA die Nasevorn. Weitere Informationen zu unse-ren Veranstaltungen werden laufendauf dem Web unter www.isaca.ch (na-tional) und www.isaca.org (interna-tional) publiziert.

Bruno WiederkehrISACA Switzerland Chapterwww.isaca.ch

CISA/CISM: Wir gratulierennochmals!

Folgende Kandidaten haben die Prü-fung im 2004 erfolgreich bestanden(aufgeführt sind nur die Kandidaten,welche das Einverständnis zur Freiga-be ihres Resultats gegeben haben):

CISA-Prüfung:Jürg AltmeierAttila BankoDan BasileOlivier BattagliaOtte BertschiHans BeumerFranz BruhinUrs BurkartThierry CesneMichele CorlettoJohn Dempsey*Martin FalconerJürgen FlaigMarkus FreiDaniel FuchsAchilles HaeringMartin Hauser*Falk HennigGötz Hoffmann*Alex HofmannTina HostettlerPhilipp HusiMafaz IshaqMichael KupferschmidNathalie LacambraAlexandre MalotchkoIsaac MendelbergMarcel MeyerThomas MollJürgen MüllerDana NicoaraCayhan OezguerolYvan ReymondDidier SchmassmannPreethi SubramanianRalph TheilerAlbert ThompsonChandrasekar VarahanMatthias von WartburgJean-Claude WickiAntonie WüthrichLing Yun

CISM-Prüfung:Johannes Buck*Thomas Leuthard*Luc PelfiniUrs SchmidFrancois Sordet*

* Top Scorers! Die ersten drei CISA/CISM, bezogen auf den PrüfungsortZürich. Im zweiten und dritten Ranggab es jeweils mehrere Kandidaten mitgleicher Punktzahl.

CISA/CISM Coordinator,ISACA Switzerland ChapterThomas Bucher

CISA/CISM Club besuchtdie SF DRS Fernsehstudiosin Zürich

Als CISA/CISM-Club-Anlass hat amDonnerstag, 4. November 2004 dieFührung in den SF DRS Fernsehstudiosin Zürich stattgefunden. Einige der vie-len Bilder von den Studios und den 16Teilnehmern (nebenstehend).

CISA/CISM Coordinator, ISACASwitzerland ChapterThomas Bucher

Michel Huissoud berichtet:

Die beiden Gesetze DNA-Profil-Gesetzund Bundesgesetz über die elektroni-sche Signatur und die dazugehören-den Verordnungen wurden unter derSystematischen Rechtssammlung (SR)des Bundes publiziert.

DNA-Profil-Gesetz:<http://www.bk.admin.ch/ch/d/sr/c363.html>

DNA-Profil-Verordnung:<http://www.bk.admin.ch/ch/d/sr/c363_1.html>Bundesgesetz über die elektronischeSignatur (ZertES):

DACH-News

27

<http://www.bk.admin.ch/ch/d/sr/c943_03.html>Verordnung über die elektronischeSignatur (VZertES):<http://www.bk.admin.ch/ch/d/sr/c943_032.html>

Verordnung des BAKOM über Zertifi-zierungsdienste im Bereich der elek-tronischen Signatur:<http://www.bk.admin.ch/ch/d/sr/c943_032_1.html>

Der Text der technischen und adminis-trativen Vorschriften des BAKOM sindin den amtlichen (AS) und systemati-schen Rechtssammlungen (SR) desBundes nicht publiziert. Sie könnenbeim BAKOM unter dem folgendenLink bezogen werden:<http://www.bakom.ch/imperia/md/content/deutsch/telecomdienste/internet/digitalesignatur/ptad.pdf>

News aus denInteressengruppen

IG Operational IT-Risk

Peter R. BitterliBitterli Consulting AGKonradstrasse 18005 ZürichTel. + 41 1 440 33 60Fax. +41 1 440 33 [email protected]

Die Interessensgruppe „Operational IT-Risk“ hat sich in den vergangenen Mo-naten intensiv mit der Frage be-schäftigt, welche (IT-) Sicherheits-anforderungen in den verschiedenenGesetzen und Verordnungen (Basel II,EBK-Richtlinien, HIPAA, CFR 11, EUDatenschutzgesetz, DSG und VDSGusw.) vorkommen. Die Arbeit hat zuein paar interessanten Erkenntnissenaber wenig direkt in die Praxis umsetz-baren Ergebnissen geführt.

DACH-News

28

Die Interessengruppe „Operational ITRisk“ plant in der jetzigen Phase eineKochbuch-ähnliche Anleitung für dasManagement von IT-Risiken, welchevor allem für KMU, für Unternehmenohne grosse Sicherheitsanforderungenan die IT oder für die ersten Schritte inein umfassenderes IT-Risikomanage-ment (analog COBIT Quickstart) ge-dacht ist. Für diese zweite Phase wer-den noch zwei bis drei neue Mitglie-der gesucht; arbeitswillige Personenmit genügend Zeit sollen sich bitte (er-neut) an den IG-Leiter wenden.

IG Government IT-Audit („Closeduser group“)

Michel Huissoud, CISA, CIAEidg. Finanzkontrolle/Contrôle fédéral des financesMonbijoustr. 453003 BernTel. +41 31 323 10 35Fax. +41 31 323 11 [email protected]

La participation à ce groupe estréservée aux collaborateurs desorganes de contrôle.

IG Computer Forensics

Paul WangPricewaterhouseCoopersAvenue Giuseppe-Motta 501211 Geneva 2Tel. +41 22 748 56 01Fax. +41 22 748 53 54Mobile: +41 79 220 54 [email protected]

L’objectif de ce groupe de discussionlié aux « Computer Forensics », est defournir un forum d’intérêt et d’infor-mation sur les méthodologies et lesoutils de ce qu’on appelle communé-ment en français « Assistanceinformatico-légale ». Ce forum offrela possibilité de partager des idées, destechnologies, des outils et certaine-

ment aussi des notions juri-diques dece domaine en constante évolution. Cegroupe de discussion abordera égale-ment des discussions techniques etprocédurales sur les prérequis enmatière de recherche de preuves infor-matiques. Même si les participantsdoivent être familiers avec la recherche,l’acquisition et l’analyse de preuvesinformatiques, tous les intéressés detout niveau de connaissance sont lesbienvenus.

IG Einführung vonIT-Governance

Rolf MerzErnst & Young AGBrunnhofweg 37Postfach 50323001 BernTel. +41 58 286 66 79Fax. +41 58 286 68 [email protected]

Leider musst die für den 14.12.2004geplante Sitzung verschoben werden.Ein neuer Termin wird voraussichtlichfür März 2005 festgelegt.Weitere In-teressenten können sich bei Rolf Merzanmelden.

Traktanden:1. Präsentation der beiden Pilotpro-zesse PO1 und PO102. Festlegen Weiteres VorgehenThemen, Ziele und Organisation dernächsten Sitzung

IG Romandie

Vacant : touts personnes intéressées àparticiper ou animer un groupe detravail ou tous ceux qui aimeraient pro-poser un thème de réflexion peuvents’annoncer auprès de M. Paul [email protected]

IG Outsourcing/Insourcing

Ulrich EnglerSwiss LifeCF/REV HG 3151General-Guisan-Quai 40Postfach, 8022 ZürichTelefon +41 43 284 77 58Telefax +41 43 284 47 [email protected]

Nächste Sitzung: Offen. Interessentenmelden sich bei Ueli Engler.

Mögliche Themen: Kontiniuität desInsourcers, Abhängigkeit vom In-sourcer (Konkurs), ÜberarbeitetesRundschreiben EBK, Fernwartung, etc.

Geplant sind Gespräche zum Thema„Grounding“ eines IT Service Provi-ders mit ausgewählten Gesprächs-partnern aus den Bereichen Legal, Ser-vice Provider, Industrie und FinancialServices.

IG MIS/EIS/DWH

Leitung:Daniel OserErnst & Young AGBadenerstrasse 47Postfach 52728022 ZürichTel. +41 58 286 34 39Fax. +41 58 286 32 [email protected]

Letzte Sitzung: Freitag, 16. Januar2004, bei Ernst & Young AG, ZürichTraktanden:� Referenzmodell Data Load� Risk Matrix� Fact Sheets

Nächste Sitzungen: Mittwoch, 30.März 2005, 09.30 bei Ernst & YoungAG, Bleicherweg 21, ZürichTraktanden:� Wrap-Up/Standortbestimmung� Weiteres Vorgehen� Wahl des neuen IG-Leiters

DACH-News

29

� Diversesev. gemeinsames Mittagessen

IG SAP R/3

Monika E. Galli MeadEidg. FinanzkontrolleMonbijoustrasse 51a3003 BernTel. +41 31 324 9495Fax. +41 31 323 [email protected]

Aus dem Protokoll der IG-SAP vom 13.Mai 2004:Herr Bolli (Bundesamt für Informatikund Telekommunikation, CCSAP Ent-wicklung und Qualitätssicherung) zeig-te die Veränderungen auf, die durchden Einsatz von WEB-Applikations-Server und damit der Programmier-sprache Java auf uns zukommen.

Der Input ins SAP-System kommt vomSAPGUI und vom Internet zum Ver-bindungsserver und von da in beidenFormaten zur Datenbank. Der SAPWEB Dispatcher entscheidet auf wel-che Queue (Instanz) der Input geht.

In Java wird weniger programmiert,sondern vielmehr modelliert. DasChange Management System machteine Versionen-Verteilung-Comp.

Wichtige Erkenntnisse:� Java sollte nie direkt auf das SAP-System zugreifen, sondern über API(Application Programming Interface)auf die Datenbanken zugreifen oderüber UME-API (User ManagementEngine Application Programming Inter-face).� Im Portal im UME muss angege-ben werden, auf welche Daten derZugriff erlaubt ist.� Die Java-Entwicklung sollte in ei-nem EU-Umfeld (Entwicklungsunit) ge-macht werden.� Java ist schwierig zu prüfen, eigent-lich fast unmöglich.

� Man kann aber die Rückmeldung(XE) prüfen; dazu ist ein Prüfverfahreneinzurichten.� Man sollte die Schnittstellen vonSAP (Web AS) verwenden.Wegen Sicherheitsrisiken ist es bessererst ab Web AS 6.40 und XE Java zuverwenden.� Zur weiteren Sicherheit empfiehltes sich, eine SSL-Zertifizierung zu ma-chen.

Wie sieht voraussichtlich die Zukunftaus?� ABAP wird mindestens noch fünfJahre zur Entwicklung verwendet, nurneue Features und Portale usw. ver-wenden heute schon Java.� Web AS 6.40 wird mit ABAP ver-wendet und ist im Enterprise 4.7 Re-lease.

Herr Kowalski (Bundesamt für Infor-matik und Telekommunikation, CCSAPEntwicklung) stellt uns CRM InternetSales vor. Um die Regel des BIT „vonaussen keinen Zugriff auf innen“ zubeachten, wurde folgende Lösungangewandt: Kunde gibt Daten vomInternet (aussen) und SAP holt sie ab(innen).

Um den Ausgleich im FI-Bereich flüs-sig zu gestalten wird das Clearing derKreditkarten mit der Software „Match-box“ gemacht.

Das heisst: Aufwand verbucht = Erlös-minderung verbucht. „Match-box“mit Referenznummer kann beim Inputoder beim Clearing installiert sein. Je-des Kreditinstitut hat ein eigenes For-mat.

Frau Galli stellt kurz die Präsentation„Stand der Sicherheit der in derSchweiz eingesetzten SAP-Systeme“von Herrn Altmeier, dem Leiter derArbeitsgruppe SAP der FGSec, vor.Herr Altmeier hat diese Präsentationbeim Anlass der FGSec vom April 2004vorgestellt. Einige der Anwesendenwaren an dieser Veranstaltung.

Erfahrungsaustausch� Die Liste der neuen Aktivitäten imSystem unter Enterprise wird nochmalsversandt werden.� Der Link zu Herrn Schiweks AIS-Präsentation zu den Änderungen mitEnterprise 4.7 wird nochmals versandtwerden.� Eine Liste der neueren SAP-Hinwei-se im Zusammenhang mit Security imSAP wird versandt werden.� Eine IBS-News-SAP über die Zu-kunft mit SAP wird versandt werden.

Interessenten können sich bei MonikaGalli, Leiterin IG-SAP melden.

Veranstaltungen

30

Veranstaltungen

Application Security Lab – Workshop zum Thema Sicherheit von 15.–17. März 2005Web-Anwendungen Zürich, 3 Tage, ISACA CH/Compass

Informations- und Know-How-Schutz im Unternehmen 16. März 2005Zürich, 1 Tag, SSI/MediaSec

BS7799 Überblick über die Normen 21. März 2005Zürich, 1 Tag, Infosec

How to Audit SAP R/3 Basis 4.–7. April 2005Genf, 4 Tage, MIS

COBIT User Convention 11.–12. April 2005 TBA (Europa), 2 Tage, ISACA USA

Internet Security Lab – Workshop mit Angriffsszenarien und 20.–22. April 2005Abwehrmassnahmen Zürich, 3 Tage, ISACA CH/Compass

Service Management - ITIL Foundation Training – 2.–4. Mai 2005Auf der Basis de facto-Standards ITIL mit Links zur BS 15000 Zertifizierung Zürich, 3 Tage ISACA CH/glenfis

Evidence Lab – Workshop über die Spurensuche in Computersystemen 11.–13. Mai 2005Zürich, 3 Tage, ISACA CH/Compass

Audit & Control of Information Technology & Systems 17./18. Mai 2005London, 2 Tage, MIS

Wireless-LAN-Sicherheit 20. Mai 2005Zürich, 1 Tag, Infoguard

Fraud Bootcamp 23.–27. Mai 2005Genf, 5 Tage, MIS

ITIL Business Continuity and IT Service Continuity – Von Business 26.–27. Mai 2005Continuity zur IT Disaster Recovery auf der Basis des Zürich, 2 Tage, ISACA CH/glenfisde facto-Standards ITIL

2nd Annual CISO Executive Summit 16./17. Juni 2005Genf, 2 Tage, MIS

International Conference 19.–22. Juni 2005Oslo, 4 Tage ISACA

Wirtschaftsspionage – Cyber Crime and Best Defence 24. Juni 2005Zürich, 1 Tag, Infoguard

Prüfung von Schnittstellen/Audit des Interfaces 30. Juni 2005Bern, 1 Tag, ISACA/Kammer

Veranstaltungen

31

KontaktadressenVeranstalter

Der NewsLetter empfiehlt folgendeVeranstalter (weitere Kurse und Unter-lagen direkt anfordern):

AFAITel. +33 1 55 62 12 [email protected]

advanced technology seminarsGrundgasse 13CH-9500 WilTel. +41 71 911 99 15Fax. +41 71 911 99 [email protected]

Stiftung für Datenschutz undInformationssicherheitDr. Beat RudinKirschgartenstrasse 7PostfachCH-4010 BaselTel. +41 61 270 17 70Fax +41 61 270 17 [email protected]

e-tec SecurityPO Box 54Wilmslow Chesire SK9 6FUUnited [email protected]

Euroform Deutschland GmbHHans-Günther-Sohl-Strasse 7D-40235 DüsseldorfTel. +49 211 96 86 300Fax. +49 211 96 86 [email protected]

Hochschule für Technik RapperswilInstitut für Internet Technologien undAnwendungenOberseestrasse 108640 RapperwilTel. +41 55 222 41 11Fax. +41 55 222 44 [email protected]

IIR-AkademieOhmstr. 59D-60468 Frankfurt/MainTel. +49 69 7137 69-0Fax. +49 69 7137 [email protected]

InfoGuard AGFeldstrasse 1CH-6300 ZugTel. +41 41 749 19 00Fax +41 41 749 19 10www.infosec.com

Integralis GmbHGutenbergstr. 1D-85737 IsmaningTel. +49 89 94573 447Fax +49 89 94573 199 [email protected]

ISACA CHKurssekretariatc/o ITACS Training AGKonradstrasse 18005 ZürichTel. +41 1 440 33 64Fax. +41 1 440 33 [email protected]

ISACA USA3701 Algonquin Rd #1010USA_Rolling Meadows IL 60008Tel. +1 847 253 15 45Fax. +1 847 253 14 43www.isaca.org

Marcus EvansWeteringschans 1091017 SB, AmsterdamThe NetherlandsTel. +31 20 531 28 13Fax. +31 20 428 96 24www.marcusevansnl.com

MIS Training InstituteNestor HousePlayhouse Yard P.O. Box 21GB-London EC4V 5EXTel. +44 171 779 8944Fax. +44 171 779 8293www.misti.com

MediaSec AGTägernstrasse 18127 Forch/ZürichTel. +41 1 360 70 70Fax. +41 1 360 77 [email protected]

Secorvo Security Consulting GmbHSecorvo CollegeAlbert-Nestler-Strasse 9D-76131 KarlsruheTel. +49 721 6105-500Fax +49 721 [email protected]

Treuhand-KammerJungholzstrasse 43PostfachCH-8050 ZürichTel. +41 1 305 38 60Fax. + 41 1 305 38 61

ZfU Zentrum fürUnternehmensführung AGIm Park 4CH-8800 ThalwilTel. +41 1 720 88 88Fax. +41 720 08 [email protected]

32

There once was an old audit fellow named BoxWho had the nerve to wear all colours of socks.Some of them red, others yellow and blueHe referred to Basel as his number two,And Sarbanes he called for short only SOX.

Ein Revisor hielt im Keller als Reserve zehn kastrierte Rinder,Zum Nachschütten, wenn die Qualität des Weines sei minder.Er verwechselte Ochsen mit Oechsle,Und zusätzlich Sarbanes mit Oxley.Jetzt lachen alle Familienglieder, besonders die Kinder.

SOX

Vereinsadressen

33

Vereinsadressen

Germany Chapter

GeschäftsstelleISACA e.V., German ChapterEichenstr. 7D-46535 DinslakenTel. +49 2064 [email protected]

PräsidentinKarin ThelemannTel. +49 6196 99626 [email protected]

KonferenzenMarkus GaulkeTel. +49 69 9587 [email protected]

Mitgliederverwaltung undKassenwartNorbert GröningTel. +49 201 438 [email protected]

Public RelationsHeinrich GeisTel. +49 692 101 [email protected]

Arbeitskreise und FacharbeitBernd WojtynaTel. +49 251 288 4253 oder +49 251 210 [email protected]

PublikationenIngo StruckmeyerTel. +49 4106 704 [email protected]

CISA-KoordinatorMichael M. SchneiderTel. +49-69 75606 [email protected]

Austria Chapter

Vorsitzender (Präsident)Ing. Mag. Dr. Michael SchirmbrandTel: +43 1 211 [email protected]

Stellvertretender Vorsitzender I(Vizepräsident I)Dipl.-Ing. Maria-Theresia Stadler,Tel: +43 1 531 [email protected]

Stellvertretender Vorsitzender II(Vizepräsident II)Mag. Josef Renner, StBTel: +43 1 50188-0

SekretärMag. Gunther Reimoser, CISATel: +43 1 [email protected]

KassierMag. Helmut ZodlTel: +43 1 [email protected]

CISA-KoordinatorMag. Maria RiederTel: +43 1 [email protected]

Public Relations/Newsletter-KoordinationRolf von RössingTel: +43 1 211 [email protected]

E-Mail ISACA Austria Chapter:[email protected] ISACA Austria Chapter:www.isaca.at

Switzerland Chapter

PräsidentinDaniela S. GschwendTel. +41 43 285 69 [email protected]

VizepräsidentMichel Huissoud, CISA, CIATel. +41 31 323 10 [email protected]

KassierPierre A. Ecoeur, CISATel. +41 71 626 64 [email protected]

Ausbildung/KurssekretariatPeter R. Bitterli, CISATel. +41 1 440 33 [email protected]

CISA/CISM-KoordinatorThomas BucherTel. +41 44 421 64 [email protected]

Sekretärc/o Präsidentin

Information & KommunikationMonika JosiTel. +41 61 697 72 [email protected] bitte hier melden.

Koordinator InteressengruppenRolf MerzTel. +41 58 286 66 [email protected]

Représentant Suisse RomandePaul WangTel. +41 22 748 56 [email protected]

MarketingBruno WiederkehrTel. +41 1 910 96 [email protected]

Homepage ISACA SwitzerlandChapter: www.isaca.ch

Schwerpunkt- Thema: Sarbanes Oxley Basel II

Documents

Transcript of Schwerpunkt- Thema: Sarbanes Oxley Basel II