ISACA Austria Seminare 2023 in Kooperation mit AIR



Security Awareness - 
Die menschliche Firewall


Aktuelle Sicherheitszwischenfälle zeigen deutlich, dass technische Maßnahmen und Sicherheitsrichtlinien alleine nicht ausreichen, um die Sicherheit von Informationen und informationsverarbeitenden IT-Systemen zu gewährleisten. Der Faktor „Mensch“ gerät als schwächstes Glied in der Kette immer mehr in den Fokus und stellt ein beliebtes Angriffsziel dar. In der Praxis zeigt sich, dass die Mitarbeiter und Mitarbeiterinnen in Unternehmen sehr häufig nicht entsprechend darauf vorbereitet sind und die menschliche „Firewall“ versagt. In diesem Seminar werden die notwendigen Elemente erfolgreicher Security Awareness Kampagnen vermittelt. Ausgehend von psychologischen Aspekten und den typischen Herausforderungen werden die erforderlichen Maßnahmen zur Sensibilisierung, zur Schulung und zum regelmäßigen Training behandelt. Im Rahmen einer Live-Demo wird gezeigt wie die Planung eines Socials Engineering Angriffs durchgeführt wird und welche Werkzeuge typischerweise hierzu angewendet werden (Phishing Emails, USB-Sticks, etc.)

Link: Security Awareness - die menschliche Firewall 
Trainer: Ing. Manfred Scholz, Managing Director SEC4YOU Advanced IT-Audit Services GmbH


02.02.2023
7 CPE



Basic IT-Checks für Fachrevisor*innen


In der modernen Geschäftswelt gibt es keine Geschäftsprozesse und/oder Produktionsabläufe ohne IT-Unterstützung.
Davon abgeleitet ergeben sich regulatorische Prüfungserfordernisse der IT-Unterstützung in Geschäftsprozessen. In vielen Unternehmen gibt es jedoch nur eine kleine Revisionseinheit und keine speziell ausgebildeten IT-Revisoren. Dennoch müssen diese auch IT-Themen prüfen. Selbst dort wo es eigene IT-RevisorInnen gibt, kann diese nicht alle IT Anwendungen, Prozesse und Systeme umfassend prüfen (u.a. aufgrund Ressourcenknappheit oder mangels Fachwissen).

Das Seminar richtet sich an FachrevisorInnen, die im Zuge ihrer Prüfungsaufgaben auch IT-Audit spezifische Kontrollen durchführen. Ziel dieses 2-tägigen Seminars ist den TeilnehmerInnen pro IT-Thema die wesentlichsten Prüfungschecks (10 - 15 Kontrollen) zu vermitteln. Die Konzentration erfolgt dabei auf die CORE-Risks um eine angemessene Audit Assurance zu erreichen. Dabei wird darauf geachtet, dass für diese Checks kein IT-Expertenwissen erforderlich ist sondern es werden Techniken und Werkzeuge vermittelt um die Checks mit IT Basiswissen (Anwender) und „Hausverstand“ durchführen zu können. Die TeilnehmerInnen sollen nach dem Seminar anhand der vorgestellten Checklisten und Fragenkataloge in der Lage sein, pro Audit-Check die notwendigen Prüfungsunterlagen, Dokumente, Daten usw. vom geprüften Bereich bzw. von der IT anzufordern, zu evaluieren, zu bewerten und abhängig vom Ergebnis, angemessene Verbesserungsvorschläge zu machen.

Link: Basic IT-Checks für FachrevisorInnen
Trainer: Gerhard Schreihans, BSc, CISA, CISSP, CRISC, CDPSE, Senior IT Audit Consultant & Managing Director Aubotics und
Wolfgang Reitberger, CISA, Senior IT Audit Consultant


20.02. - 21.02.2023
14 CPE



Prüfung von Cloud-Service-Providern (CSP) durch die interne Revision des Kunden


Im Seminar „Prüfung von Cloud Service Provider (CSP) durch die interne Revision des Kunden" werden die rechtlichen und organisatorischen Grundlagen für CSP-Audits, die Grundlagen für die Prüfung, u.a. verfügbare Zertifikate/Prüfberichte, COBIT, CCM (Cloud Control Matrix) als Referenzsystem für CSP-Audits und die Zusammenarbeit in einem Joint Audit am Beispiel der CCAG (Collaborative Cloud Audit Group)
vorgestellt und besprochen. Ein wesentlicher Bestandteil des Seminars ist die Vorstellung eines umfassenden Prüfungskonzepts für einen CSP eines Unternehmens und wie dieses gestaltet werden kann/soll.

Link: Prüfung von CSP durch die interne Revision des Kunden 
Trainer: DI. Dr. Christian Koza, CISA, CRISC, CDPSE


22.02.2023
7 CPE



Security bei Cloud Computing:

Was muss ein Interner Revisor darüber wissen?


Die Revision kann bei der Nutzung von Cloud Computing sowohl hinsichtlich der anzulegenden Kriterien für eine Evaluierung von Anbietern, als auch in der Rolle des Prüfers nach Abschluss eines entsprechenden Vertrages tätig werden. Diesbezügliche Entscheidungen haben potentiell einen hohen Einfluss auf die Wirtschaftlichkeit, Sicherheit und Compliance. Virtualisierte Systeme werden nicht nur im Bereich des Cloud Computing verwendet, sondern werden auch bei internen IT-Abteilungen betrieben. Für Unternehmen kritische bzw. wertvolle Anwendungen und Daten werden in virtualisierten Systemen betrieben, wodurch die Revision zunehmend auf diese im Rahmen von Prüfungen trifft. Im Seminar ein Überblick über Cloud Computing, virtualisierte Systeme und wichtige Sicherheitsaspekte die im Rahmen der Revision relevant sind, gegeben und in kompakter Form das notwendige Know-how, auf das es in der täglichen Praxis ankommt, vermittelt. Dabei werden Methoden und Arbeitstechniken und konkrete Beispiele für die Prüfung dargestellt.

Link: Security by Cloud-Computing
Trainer: Felix Schallock, MBA, BSc(hons), Geschäftsführer TIBITS Consulting GmbH


09.03.2023
7 CPE



Einführung in die IT-Revision


Dieses Seminar stellt eine umfassende Einführung in die Aufgabengebiete der IT-Revision dar. Angeboten werden direkt in die Praxis umsetzbare Prüfansätze zu diversen Schwerpunktthemen sowie Erfahrungsberichte der Vortragenden. Es aufgezeigt, dass auch nicht IT Spezialisten viele Bereiche der IT Revision abdecken können. Nahezu jeder Prozess in einem Unternehmen wird durch den Einsatz von IT unterstützt. Durch diese Durchdringung wächst das daraus resultierende Risikopotenzial. Die Prüfung des IT ist daher von größter Bedeutung aber in vielen Unternehmen stehen dafür keine eigenen Spezialisten für diese Aufgabe zur Verfügung. Aus diesem Grund wird im Seminar auch nicht-Techniken ein Basiswissen der IT-Revision vermittelt.

Link: Einführung in die IT-Revision 
Trainer: Ing. Manfred Scholz, Managing Director SEC4YOU Advanced IT-Audit Services GmbH und Ing. Bernd Schütter, CIA, CISA, CISM, CRISC, CISSP, IRCA ISMS Internal Auditor


08.05. - 09.05.2023
14 CPE



IT-Revision für Führungskräfte


In diesem Seminar wird ein Überblick über aktuelle Prüf- und Sicherheitstrends im IT-Audit geben sowie direkt in die Praxis umsetzbare Prüfansätze vorgestellt. Die raschen technischen Veränderungen stellen für den Revisionsleiter und für Führungskräfte eine wachsende Herausforderung dar. Im Gegensatz dazu stehen in einem Großteil der Unternehmen keine eigenen Spezialisten für das IT- Audit zur Verfügung. Viele IT-Themen können jedoch auch von "Nicht-Technikern" geprüft werden. Das Seminar zeigt auf, welche Anforderungen an ein IT-Audit heutzutage bestehen, von jeder Revision abgedeckt werden sollten und auch durch "Nicht-IT-Spezialisten" abgedeckt werden können.

Link: IT-Revision für Führungskräfte
Trainer: Gerhard Schreihans, BSc, CISA, CISSP, CRISC, CDPSE, Senior IT Audit Consultant & Managing Director Aubotics und Wolfgang Reitberger, CISA, Senior IT Audit Consultant


06.09.2023
7 CPE



IT-Security
Information Security


Unter IT-Security werden sehr oft technische Maßnahmen verstanden, die punktuell bestimmte Schwachstellen beheben sollen. Aus Sicht der Revision sind diese Maßnahmen Teil eines übergeordneten internen Kontrollsystems und müssen dahingehend gestaltet werden. Ausgehend von den gesetzlichen Rahmenbedingungen werden anhand von konkreten Fallbeispielen aus der Praxis mögliche Lösungsansätze vorgestellt und in der Gruppe diskutiert, um die bestehenden Sicherheitsrisiken auf ein vertretbares Maß zu senken. In diesem Seminar sollen den Teilnehmer die Anforderungen an IT-Security bzw. Information Security aus Sicht der Revision vermittelt und mögliche Lösungsansätze aufgezeigt werden. Das Seminar wendet sich an Mitarbeiter der Revision, der IT-Abteilung, aber auch an Führungskräfte und Geschäftsführer, die über die Anforderungen informiert sein wollen. Es ist aber auch für Kandidaten der CISA oder CISM Prüfung als CIA Ergänzung der Prüfungsvorbereitung geeignet.

Link: IT-Security Information Security
Trainer: Ing. Manfred Scholz, Managing Director SEC4YOU Advanced IT-Audit Services GmbH


13.09. - 14.09.2023
14 CPE



IT Risk Management, IT Risk Assessment
und die Rolle der Internen Revision


Das Risikomanagement in der Informationstechnologie (IT) erkennt, analysiert, bewertet und überwacht die verschiedenen IT-Risiken. Es begleitet den gesamten System-Lebenszyklus der IT und stellt Gegenmaßnahmen oder Notfallpläne für verschiedene Szenarien bereit. In vielen Unternehmen bilden die IT-Systeme das Rückgrat und die Grundlage für das Funktionieren der Geschäftsmodelle. Probleme mit IT-Systemen können zu enormen Schäden für das betroffene Unternehmen führen. Dies reicht von Produktionsausfällen über Umsatzeinbußen bis hin zur existenziellen Bedrohung des Unternehmens. Zu den möglichen Risiken zählen beispielsweise Hardwareausfälle, Softwarefehler, Datendiebstahl, Datenverlust, Datenmissbrauch oder Spionage.

Im Zuge dieses Seminars wird das Thema IT Risk Management und IT Risk Assessment aus Sicht der Revision dargestellt. Anhand von Praxisbeispielen werden die wesentlichsten IT Risiken, deren Klassifizierung und Risikobewertung und die daraus erforderlichen Kontrollen und Prüfungshandlungen zur Identifikation, Überwachung, Messung und Minderung der wesentlichsten Unternehmensrisiken dargestellt. Die Aufgaben eines effektiven Risikomanagements, die organisatorische Implementierung im Unternehmen (top-down Prinzip, tone from the top) und die Rolle der Revision im Zuge des strategischen und operativen IT Risikomanagements werden vorgestellt.

Link: IT Risk Management, IT Risk Assessment
Trainer: Gerhard Schreihans, BSc, CISA, CISSP, CRISC, CDPSE, Senior IT Audit Consultant & Managing Director Aubotics und Wolfgang Reitberger, CISA, Senior IT Audit Consultant


05.10.2023
7 CPE



COBIT Foundation Kurs


In diesem Kurs werden die Grundlagen von COBIT 2019 vermittelt und die Kursteilnehmer in vielen praktischen Übungen im Umgang mit dem Rahmenwerk vertraut gemacht.

  • Gründe für die Erstellung der neuen COBIT® 2019 Version
  • Abgrenzung von COBIT zu anderen Rahmenwerken und Normen
  • Die Zielkaskade zur Herleitung der Governance- und Management Objectives
  • Die 40 Governance und Management Objectives (früher: Prozessmodell)
  • Die 7 Komponenten der Governance und Management Objectives (früher: Enabler)
  • Design Faktoren und Fokus Areas zum Bau eines Governance-Systems
  • Details zum Prozess BAI06 - Managen von Änderungen
  • Das Prozessreifegradmodell
  • Der Implementierungszyklus
  • Fallstudie, Fragen & Diskussion 
  • Prüfungsvorbereitung
Der Kurs wird auf Deutsch abgehalten, die digitalen Unterlagen sowie die Online-Prüfung sind in englischer Sprache.
Die Zertifikatsprüfung erfolgt nicht im Rahmen dieses Seminars, sondern wird im Anschluss von den Teilnehmenden individuell organisiert. Ein Gutschein für einen Prüfungsantritt ist in der Kursgebühr enthalten. Ort und Zeitpunkt der Prüfung zur Erreichung des Zertifikats „COBIT® 2019 Foundation“ kann durch jeden Teilnehmer selbst festgelegt werden. Der Prüfungsantritt ist nicht verpflichtend. Prüfungsgutscheine sind jedoch nicht stornierbar und nicht übertragbar. Gültigkeit 1 Jahr ab dem Seminar. Die Prüfungsdurchführung wird über eine Web-Kamera überwacht und es ist die Installation eines gesicherten Browsers notwendig. Bitte zum Kurs ein Notebook oder Tablet mitbringen!

Link: COBIT Foundation Kurs
Trainer: Ing. Christian Randus, Consultant und Trainer bei makeit information systems GmbH


12.10. - 13.10.2023
14 CPE



Prüfung IKS in der IT


Dieses Seminar bietet Ihnen einen Überblick über die Relevanz von IT und Anwendungskontrollen für das Interne Kontrollsystem (IKS) in Geschäftsprozessen. Ziel des Seminars ist es, die Bestandteile eines IKS im IT Bereich sowie den Zusammenhang mit dem IKS in den Geschäftsprozessen und die Prüfung des IT IKS zu erläutern. Die Begriffe IT General Controls (ITGC), Anwendungskontrollen und andere Begriffe in diesem Zusammenhang werden erklärt sowie deren Auswirkungen und Grenzen auf das restliche IKS einer Organisation. Insbesondere das Zusammenspiel von IT Kontrollen und Kontrollen in den Geschäftsprozessen ist für den Internal Audit Ansatz wesentlich. Die wesentlichsten, prüfungsrelevante Bereiche in der IT werden beschrieben. Zum Abschluss wird die Durchführung einer Prüfung des IKS im IT Bereich (von Planung über Tests bis Dokumentation) erläutert.

Link: Prüfung IKS in der IT
Trainer: Mag. Markus Ramoser, CIA, CISA, CRMA


09.11.2023

7 CPE



Outsourcing, Supplier Third Party Management
und die Rolle der Internen Revision


Die Auslagerung von Dienstleistungen, Arbeitsbereichen und/oder Abteilungen ist derzeit das zentrale Thema von Unternehmen. Grundsätzlich handelt es sich beim Thema „Outsourcing“ schlichtweg um Arbeitsteilung, das Auslagern bestimmter – teilweise sogar aller – Arbeitsschritte einer Dienstleistung (Services), firmeninterner Funktionen (Back Office Services) oder einer Produktherstellung. Ein wesentliches Beispiel ist die Auslagerung von IT-Dienstleistungen um Kosten für Hard- und Software sowie für Wartung und Instandhaltung zu reduzieren. So ersparen sich Unternehmen Investitionen in Infrastruktur und in den Aufbau und Erhalt von Know-how außerhalb der eigenen Kernexpertise. Doch bei der Suche nach den Chancen und Kosteneinsparungen werden die Risiken, die mit Outsourcing verbunden sind, oft übersehen. Im Zuge dieses Seminars wird das Thema Outsourcing aus Sicht der Revision dargestellt. Es werden die wesentlichsten Outsourcing-Richtlinien und/oder gesetzlichen Anforderungen vorgestellt, die Outsourcing-Risiken und die erforderlichen Maßnahmen und Kontrollen zur Minimierung der Risiken erläutert und daraus resultierende Prüfungshandlungen anhand von Praxisbeispielen vorgestellt.

Link: Outsourcing und die Rolle der Revision
Trainer: Gerhard Schreihans, BSc, CISA, CISSP, CRISC, CDPSE, Senior IT Audit Consultant & Managing Director Aubotics und Wolfgang Reitberger, CISA, Senior IT Audit Consultant


11.12.2023
7 CPE