
Audits & Assessments
Die fortschreitende Digitalisierung ist mit einem umfassenden gesellschaftlichen Wandel verbunden, der durch die aktuelle Corona-Krise noch verstärkt und beschleunigt wird. Dieser Wandel bringt nicht nur zahlreiche Implikationen für unseren Alltag, sondern mehr noch für die IT-Organisationen. Betroffen sind sowohl bestehende Infrastrukturen und Prozesse als auch die Menschen, welche die Hauptlast für die Umsetzung der Digitalisierung tragen. Stärker gefordert sind die Compliance-Verantwortlichen, die unabhängig von technologischen Veränderungen im Unternehmen für die Einhaltung der gesetzlichen Vorgaben zuständig sind. Lassen Sie uns dieses komplexe Thema gemeinsam angehen und in der digitalisierten Welt erfolgreich agieren.
Zentrale Herausforderungen der Internen Revision
im IT-Umfeld
Get in touch with IT Resilience
- Die Verfügbarkeit von IT-Services ist kritisch für jede Art von Business.
- Ausfälle mit Customer Impact verursachen finanziellen Schaden und Reputationsverluste auf Kundenseite.
- Neben dem klassischen Business Continuity gewinnt Service Resilience an Bedeutung
Auditing Security
- Die Wirksamkeit der Security-Prozesse und –tools ist zentrales Prüfobjekt der IT-Revision
- Die Beurteilung der Security-Organisation und ihrer Fähigkeit zur Adressierung von Bedrohung ist essentiell
- Security als 2nd line Funktion ist eine Kooperations Organisation und ergänzt die IT Revision mit eigenen Auditaktivitäten bzw. ist Joint Audit Partner
Face Emerging Technologies
- Digitalisierung umfasst alle Themen, die aktiv auf Prozesse, Infrastrukturen und Organisation einwirken
- Erhöht den Grad der IT-Abhängigkeit des Business
- Emerging Technologies wie Artificial Intelligence verändern die Risiko-Exposition
Mind the regulatory gap
- IT Prozesse orientieren sich an Standards (ITIL, COBIT)
- Aktuelle Regulierungs- und Compliance-Anforderungen sind in der technischen Realität abzubilden
- DSG-Revision Teil 2 ist in der Praxis umzusetzen
- Anpassung von IT-Kontrollframeworks im agilen Umfeld sowie Prüfung der Gültigkeit
Trend-Radar tech-driven Audits
Always On
Beratung / Latente Auditthemen
1.Architektur & Strategie
Auditfokus Failure Domains
2.Virtualisierung
3.Lagerung
4.Netzwerk
5.Betriebssysteme
6.Hardware
Rollierende/Standardaudits
7.Applikationslayer
8.Datenzentrum
9.Prozess der Geschäftskontinuität
10.Steuerungssysteme (STADA)
Cyber Security
Beratung / Latente Auditthemen
11.Forensisches Toolset
12.Funktionsfähigkeit SOC
Auditfokus
13.Reaktionsfähigkeit bei Krisen
14.CSIRT-Capabilities
15.Security Reporting
Rollierende/Standardaudits
16.Security-Einhalteprüfung (Joint Audits)
17.Zugriffsrechte
Digitalisierung
Beratung / Latente Auditthemen
18.Quantum Computing
19.(Decision) Algorithms
20.Shadow-IT
21.Komatöse virtuelle Server
Auditfokus
22.Digitalisierungsstrategie
23.Shift2Online (Portale, CRM)
24.(Robotic) Process Automation
25.Cloudification
26.Big Data Analytics
27.M&A / Venturing
Rollierende/Standardaudits
28.Agile Kontrollsysteme
29.Digitalisierungsprojekte
30.Agile Organisation
31.API (application programming interface)
Data Governance
Beratung / Latente Auditthemen
32.Data Privacy Impact Assessments (DPIA)
Auditfokus
33.Policies, Weisungen, AGBs
34.Einhaltung ADV / Vertragliche Verpflichtungen
35.Organisation & Rollen & Kultur
Rollierende/Standardaudits
36.Datenverarbeitende Prozesse
37.Beurteilung Datenarten und Speicherorte
38.Daten-Klassifikation
39.Technisch-organisatorische Massnahmen (TOM)
40.Prüfung 3rd Party Dienstleister
Wo Sie uns treffen können
ISACA Conference Europe
20.10.2021 - 22.10.2021
Unsere Methoden und Produkte
Emergency Services
Für kritische IT-Services besteht eine Always-on-Erwartungshaltung. Trotzdem können Ausfälle jederzeit passieren, da keine Technologie immer oder von Anfang an reibungslos funktioniert. Durch Continuous Releasing werden permanent Änderungen eingespielt, welche die bestehenden Applikationen verändern. Dadurch entstehen Instabilitäten oder ungewöhnliches Applikationsverhalten.
Jedes Unternehmen kann von IT-Notfällen betroffen sein und dadurch Verluste und Schäden erleiden. Ebenso können Projekte, das zentrale Herzstück der Digitalisierung, in Schieflagen geraten. In beiden Fällen muss das Ziel darin bestehen, möglichst schnell wieder einen arbeitsfähigen Zustand zu erreichen. Dies erfordert eine umfassende Root Cause- und Fehleranalyse. Nur so können wirksame Gegenmassnahmen eingeleitet werden, die vermeiden, dass derselbe Fehler wieder passiert!
Die Eraneos Group kann Sie in solchen Notfallsituationen nicht nur schnell und technologiekompetent, sondern auch unabhängig aus einer neutralen Bewertungsposition unterstützen und die Krise gemeinsam mit Ihnen erfolgreich meistern. Wir zeigen Ihnen dabei auf, wo Handlungsbedarf besteht und entwickeln Empfehlungen, wie Sie die Situation nachhaltig verbessern können.
IT-Revision
Die Interne Revision ist für den Schutz der Unternehmenswerte und die Einhaltung von gesetzlichen und internen Vorgaben zuständig. Die mit der Digitalisierung einhergehende Technologiewelle stellt die traditionelle IT-Revision vor kaum lösbare Herausforderungen. Auf welche Themen muss sie sich konzentrieren, welche Expertise muss inhouse verfügbar sein und wie kann der Verwaltungsrat in der Wahrnehmung seiner Pflichten kompetent unterstützt werden?
Wir beobachten hier verstärkt die Rückkehr des «klassischen IT-Prüfers» aus den 80er Jahren. Dieser ist hoch spezialisiert und nur für ausgewählte Themen einsetzbar, wie z. B. Cisco-Netzwerke oder Virtualisierungstechnologien. Die geforderte Bandbreite an Spezialisierung kann heute durch die interne IT-Revision vielfach nicht mehr vollständig abgedeckt werden. Daraus resultiert die Anforderung, entweder interne Subject Matter Experten einzubinden oder externe Experten-Netzwerke aufzubauen. Eraneos bietet Ihnen Spezialisten, die nicht nur eine grosse Bandbreite von Technologien beherrschen, sondern auch mit den zeitgemässen Auditmethoden vertraut sind.
(IT Infrastruktur Check)
Digital Check (IT Infrastruktur Check)
Die Digitalisierung betrifft heute Unternehmen jeder Grösse quer durch sämtliche Branchen. Die damit einhergehenden Veränderungen in vielen verschiedenen Unternehmensbereichen sind täglich spürbar und wirken sich auf die langfristige Wettbewerbsfähigkeit eines Unternehmens aus. Die Fragestellung, was diese Entwicklung für ein Unternehmen bedeutet und wie gut dieses für seine digitale Transformation aufgestellt ist, hat daher grosse Relevanz.
Digital Readiness beschreibt die Fähigkeit einer Organisation, den digitalen Wandel und die digitale Transformation durch die Entwicklung digitaler Innovationen und disruptiver digitaler Geschäftsmodelle mitzugestalten. Mit dem Digital Readiness Check kann der Reifegrad einer Organisation auf mehreren Ebenen ermittelt werden.
Im Rahmen der Analyse erfahren Organisationen beispielsweise,
- wie systematisch und konkret digitale Strategien formuliert und über Hierarchieebenen hinweg kommuniziert sind.
- wie gut das Marketing auf die Bedürfnisse und Customer Journeys digitaler Kunden ausgerichtet ist.
- über welche digitalen Kompetenzen Mitarbeitende verfügen und wie diese durch gezielte Schulungen optimal gefördert werden können.
- wie agil die Organisation mit ihren aktuellen Strukturen auf den Wandel reagieren kann und wie inwiefern die Unternehmenskultur die digitale Transformation vorantreibt.
Die Eraneos Group analysiert Ihre Digital Readiness, zeigt auf, wo Handlungsbedarf besteht und leitet daraus gemeinsam mit Ihnen konkrete Massnahmen ab, damit Sie die digitale Transformation Schritt für Schritt erfolgreich vorantreiben können. Zugleich können wir Sie bei der Beurteilung der Zukunftsfähigkeit Ihrer IT-Infrastruktur und der dazugehörenden Services in einem sich wandelnden technologischen Umfeld unterstützen und Ihnen brancheneigene oder -übergreifende Handlungsempfehlungen aufzeigen.
IT Compliance Framework
In Unternehmen, die agile Methoden einsetzen, prallen zwei Welten aufeinander: Die IT Compliance erfordert einerseits die Einhaltung von externen Gesetzen, internen Regeln und Vorschriften oder Verträgen. Im Kern bedeutet dies vor allem, die IT gesetzeskonform im Griff zu haben. Anderseits drängen agile Methoden und Organisationsformen immer stärker in den betrieblichen Alltag und erhöhen die Veränderungsgeschwindigkeit der IT.
Das aktuelle Schweizer Datenschutzgesetz stammt aus dem Jahr 1993 und wird hoffentlich dieses Jahr final überarbeitet. Allerdings wird es auch dann noch viele Graubereiche geben, in denen die Compliance-Verantwortlichen ein eigenes Verständnis und Risikobewusstsein entwickeln.
Den sich nur langsam verändernden Vorgaben der Compliance stehen sich selbstorganisierende Teams gegenüber, welche die Interaktion über Prozesse und Werkzeuge individuell gestalten wollen. Unternehmen, die agile Methoden nutzen, tun deshalb gut daran, beide Ansätze zielführend miteinander zu verknüpfen.
Unsere kompetenten und erfahrenen Berater können Sie bei der Erstellung eines agilen IT Compliance Frameworks unterstützen. Unser Fokus liegt dabei auf wirksamen Kontrollen, die sowohl die Einhaltung der gesetzlichen Anforderungen sicherstellen als auch eine sinnvolle, finanzielle Mittelallokation gewährleisten.
Digitale Projekte
Projekte sind das Herzstück der digitalen Transformation. Angesichts der Investments von Organisationen in die Einführung neuer Applikationen und die Cloudifizierung besteht zu Recht eine hohe Erwartungshaltung an entsprechende Projekte und deren Lieferergebnisse. Trotzdem sehen wir regelmässig Projekte in Schieflage. Die Gründe dafür sind vielfältig und reichen von klassischen Projektmanagementthemen über unerwartete technologische Herausforderungen bis zur Unterschätzung der mit der Projektumsetzung verbundenen Auswirkungen auf den laufenden Betrieb.
Zur Sicherung der getätigten Investments ist in solchen Fällen eine schnelle Identifikation der Ursachen und eine zeitnahe Definition sinnvoller Gegenmassnahmen erforderlich. Auf Basis unserer Go2Green-Methodik und unserer organisations- und technologieneutralen Bewertungsposition können wir Ihnen innerhalb von kurzer Zeit eine fundierte Entscheidungsgrundlage für die Bewältigung entsprechender Situationen liefern.
3rd Party Supplier
In digitalen Unternehmen spielt die Zusammenarbeit mit externen Dienstleistern eine zentrale Rolle, da diese in der Lage sind, entscheidende Technologien, Ressourcen oder Expertise zeitnah bereitzustellen – egal, ob der Dienstleister strategisch eingebunden wird oder ein Pool von Dienstleistern die benötigten Services bereitstellt. Solche Kooperationen bringen zahlreiche Vorteile. Sie erhöhen jedoch gleichzeitig die Risikoexposition von Unternehmen gegenüber diesen Dienstleistern, sei dies durch Abhängigkeit von kritischem Know-how oder erhöhte Anforderungen aufgrund der Datenschutzgesetzgebung.
Eraneos verfügt über umfangreiche Erfahrungen im Sourcing von Dienstleistern und kann mit 3rd Party Assessments nicht nur potenzielle Abhängigkeiten und Risiken aufzeigen, sondern auch praxisnahe Handlungsempfehlungen liefern, die Ihre Beschaffungsprozesse unterstützen.
Merger & Acquisition
Startup Integration
Due Diligence / Merger & Acquisition / Startup Integration
Die Umbrüche in der IT werden durch die grossen Marktanbieter getrieben. Der Grossteil der Innovation wird jedoch durch kleine innovative Unternehmen und Dienstleister erzeugt. Mittlerweile setzen sich viele dieser Unternehmen mit M&A, Corporate Venturing oder Kooperationen auseinander, um die besten neuen Technologien für das eigene Geschäftsmodell verfügbar zu haben.
Dabei stellt sich jedoch früher oder später die Frage, ob die neue Technologie in die bestehende IT-Landschaft passt. Gleichermassen gilt es abzuklären, ob die Organisation die geplante Integration verarbeiten kann und wie gross der Aufwand für die damit verbundene Prozessharmonisierung sein wird.
Da Startups zudem unabhängig von regulatorischen Anforderungen oder Compliance-Restriktionen agieren, kommen bestehende Defizite häufig erst bei der Übernahme in den Regelbetrieb ans Licht. Dies ist in der Regel zu spät. Um Investments zu schützen sowie die Funktionalität einer Plattform und die Qualität der Implementierbarkeit abzusichern, sollte die Erfüllung dieser Anforderungen frühzeitig sichergestellt werden.
Mit einem organisations- und technologieneutralen Assessment unterstützt Eraneos die internen Verantwortlichen dabei, in diesem Kontext die richtigen Entscheidungen zu treffen.
Digitalisierungsstrategie für Internal Audit Abteilungen
Die Frage, welche Beträge in die Digitalisierung der Revisionsabteilungen investiert werden, lässt sich in den meisten Fällen nicht beantworten. Dabei sind gerade die Revisionsabteilungen gefordert, ein Gegengewicht zu Unternehmensentwicklungen zu geben, kritisch auf Risiken hinzuweisen und den Verwaltungsrat in seinen Aufgaben qualifiziert zu unterstützen.
Unsere Beobachtungen ergeben jedoch, dass Interne Revisoren nicht nur einem steigenden Effizienzdruck ausgesetzt sind, sondern ihrer Aufgabe auch mit immer weniger Ressourcen nachkommen müssen.
Kurzgesagt, auch Revisionsabteilungen brauchen eine digitale Agenda und müssen ihre Strategie an die sich wandelnden Bedingungen in ihrem Umfeld anpassen. Die Strategieentwicklung mit erfahrenen Experten von Eraneos unterstützt die Aufrechterhaltung der Wirksamkeit der Internen Revision im Rahmen der digitalen Transformation.
Entscheidungsalgorithmen – Governance, Rahmenbedingungen, Bias-Identifikation, Prüfung
Künstliche Intelligenz (KI) kann die Prozesseffizienz und -qualität in Unternehmen deutlich verbessern. Entscheidungsunterstützung mithilfe von Künstlicher Intelligenz ist der wichtigste Treiber der zweiten Welle der Digitalisierung.
Der Einsatz von Machine Learning Methoden und Entscheidungsalgorithmen wird das Alltagsleben nachhaltig beeinflussen. Wichtig dabei ist, KI nicht nur aus der Technologieperspektive zu betrachten, sondern diese langfristig an Vorschriften und Compliance auszurichten und Änderungen der Regularien frühzeitig zu antizipieren. Zurzeit sind die gesetzlichen Rahmenbedingungen zwar noch schwach ausgeprägt. Das Europaparlament fordert jedoch in einer mit grosser Mehrheit verabschiedeten Resolution umfassende Gesetze für Roboter und künstliche Intelligenz auf EU-Ebene.
Über das Äquivalenzprinzip, das die Vergleichbarkeit der rechtlichen Rahmenbedingungen zwischen der EU und der Schweiz sicherstellt, werden diese Anforderungen auch auf schweizerischer Ebene Wirkung entfalten.