GRC Multicompliance, Continuous Control und Riskmanagement mit ServiceNow Volker Dohr Manager Governance, Risk & Compliance AMAG 1 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Agenda AMAG - Automobil und Motoren AG GRC – Herausforderungen in der Praxis Alles aus einer Hand - Datenmodell und Module Ein Blick auf die Umsetzung Take Away 2 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Die AMAG – der führende Automobil-Importeur in der Schweiz GENERALIMPORTEUR VON 5 VWKONZERNMARKEN 3 FAHRZEUGE AUS 23 WERKEN QUALITÄTSKONTROLLZENTRUM FÜR DEN VWKONZERN IMPORT: 89.990 FAHRZ. 2014 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance 29% VW: Marktanteil Die AMAG ist die grösste Automobil-Verkaufsorganisation der Schweiz 84 RETAILBETRIEBE 4 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Die AMAG ist Teil des Familienkonzerns Careal Holding Careal Holding AMAG Automobil- und Motoren AG 5 AMAG First AG AMAG Leasing AG AMAG Services 90% Diverse Beteiligungen Immobilien Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance kennen die AMAG Die Herausforderungen mit GRC, IKS und Audit 6 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Die Rahmenbedingungen vor dem IT GRC Projekt IT MA 120 Serviceprovider organische Strukturen 7 5400 Externe Auditoren Mitarbeiter DE/CH 900 MA bei VertriebsPartner viele Systeme Erfahrung mit IT Audits ISO Kontrollen nicht aktuell Einfach sollte es sein PWC KPMG EY Risiko Maturität Akzeptanz IT Audit Findings Aufwand kein etabliertes IT Kontrollsystem Kommunikation Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Wie haben wir Audits früher durchgeführt? Compliance Einzelaudit Prüfobjekte Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Wie wollen wir im künftigen Compliancemodell integriert und redundanzfrei prüfen? COMPLIANCE Gesetz Regulator Kunde Lieferant Servicelevel Weisungen IKS Unternehmen Applikation Prozesse IT & Infrastruktur CRH Bereich Region Abteilung Abt., Referat MASSNAHMEN 9 MONITORING AUDIT Audit & Feststellungen Risiko RISK Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance ! Vorgaben ! Gruppierung der Kontrollziele ! Zuweisung zum bestehenden IKS ! Wiederverwendung 10 Kontrollen Anforderungen Das Potential von «Multi-Compliance» Vorgabe 1 Gesetz Kontrollz iel 1 Vorgabe 2 Norm Kontrollz iel 2 Control 1 Control 5 Vorgabe 3 Norm Kontrollz iel 3 Control 2 Control 6 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Kontrollz iel 4 Kontrollz iel 5 Control 3 Control 4 Control 7 Control 8 Vorgabe 4 Service Kontrollz iel 6 Control 9 Projektauftrag Reuse bevor Buy 11 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Die Erwartungen der Auftraggeber USABILITY 12 WIEDERVERWENDUNG REPORTING GUTE WARTBARKEIT Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance REDUNDANZ VERMEIDEN Das Projekt: 12 Monate - bei geringem externen Beratungsbedarf 2014 2013 Q4 Q1 Q3 Q2 Q4 Evaluation MS: Risk Projekt: GRC MS: Massnahme Reife & Integration Geringer Aufwand Meilenstein erreicht MS: Compliance MS: Audit MS: IKS 13 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Nach den erreichten Projekt-Meilensteinen kommt nun der Rollout in den Business Units 2015 2014 Q1 Q4 Q2 Q3 IT: Risk Holding: Risk Import: Audit Holding: Pilot IKS 14 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Q4 Aus den Vorgaben ist das integrierte AMAG Compliance Framework im ServiceNow Modul GRC eingearbeitet worden Compliance Risiko IKS & Monitoring Vorschriften Risiko Kontrollen Audit Audit Audittempl. Audittyp Vorschriftsinhalte Monitoringzuweisung Prüfkatalog Prüfobjekte Monitoring Audit Tasks Massnahmen Massnahmen 15 90% 100 % Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Feststellungen Das GRC Modul war bereits bestens vorbereitet Nur Berechtigungen, Felder und Notifikationen wurden ergänzt Compliance Risiko IKS & Monitoring Vorschriften Risiko Kontrollen Audit Audit Audittempl. Audittyp Monitoringzuweisung Vorschriftsinhalte Prüfkatalog Prüfobjekte Monitoring Audit Tasks Massnahmen 30% 16 40% Massnahmen 50% 60% 70% 90% 100 % Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Feststellungen Notifikation Schutz 6 Rollen 17 Risiko Audit Massnahmen Kontrollen Vorschriften Definierte GRC Prozesse visualisieren das Zusammenspiel zwischen den GRC Stakeholdern Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Beispiel: Continuous Control Monitoring 18 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Beispiel: Risikokatalog und Risiko-Kampagnen 19 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Ein Blick auf die Umsetzung mit ServiceNow 20 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Das GRC Modul auch auf dem Tablet Akzeptanz von GRC steigern bei Audits, IKS und Monitorings 21 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Fazit: Die Erwartungen der Auftraggeber im Hinblick auf Kosten, Wiederverwendung und Redundanzreduktion wurden erfüllt USABILITY 22 WIEDER VERWENDUNG REPORTING GUTE WARTBARKEIT Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance REDUNDANZ VERMEIDEN Take away Wiederverwendung führt zu Kostenreduktion und schneller Implementierung Initiieren Sie moderne Compliance doch mal aus der Informatik! Weitere Informationen: www.servicenow.com/products/it-governance-risk-and-compliance.html 23 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Besten Dank für Ihre Aufmerksamkeit Volker Dohr Manager Governance, Risk & Compliance AMAG Automobil und Motoren AG 24 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance Referent Multicompliance, Continuous Control und Riskmanagement mit Service Now Die Komplexität der IT-Compliance-Anforderungen nimmt zu. Einerseits geben Lieferanten, Kunden und Wirtschaftsprüfer unterschiedliche Vorgaben vor - die durch Industriestandards (wie ISO 27001 oder ISO 9001) implementiert werden, und deren Umsetzung entsprechend belegt werden muss. Auf der anderen Seite existieren interne Richtlinien, die durch ein IKS und regelmässige Kontrollen geprüft und überwacht werden müssen. Mit dem Governance Risk und Compliance-Modul von ServiceNow war es für die AMAG Automobil- und Motoren AG möglich, die Komplexität zusammen zu fassen und ein umfassendes Management dieser Anforderungen, sowie der Risiken und Audits einzuführen. Erfahren Sie, wie die AMAG Doppelprüfungen gleicher Risiken vermeiden, Abweichungen in Kontrollen erkennen, und eine integrierte Betrachtung diverser Kundenanforderungen einfacher durchführen konnte. LinkedIn Volker Dohr 25 Informatik Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015 Volker Dohr, Governance Risk & Compliance
© Copyright 2024 ExpyDoc