BERUFLICHES PROFIL

Senior ISMS- & GRC-Experte mit über acht Jahren Big-4-Erfahrung (KPMG AG Wirtschaftsprüfungsgesellschaft) mit Fokus auf Auditvorbereitung und Auditbegleitung in regulierten Umfeldern. Spezialisiert auf ISO/IEC 27001 Überwachungsaudits (Audit-Readiness), inklusive Planung/Koordination von Auditaktivitäten, Begleitung und Nachbereitung interner Audits sowie Analyse und Nachverfolgung von Audit-Findings (Issue Closure). Ausgeprägt in revisionssicherer Nachweisführung und Lenkung auditrelevanter Dokumentation (Evidence Library, Aktualisierung/Versionierung, Vollständigkeit und Nachvollziehbarkeit) sowie im Stakeholder-Management mit internen und externen Prüfern (DE/EN). 

KERNKOMPETENZEN

• ISO/IEC 27001 Auditvorbereitung (Überwachungsaudit): Auditplan/Roadmap, Vorbereitung von Interviews/Agenda, PBC-Listen, Koordination von Fachbereichen, Readiness-Checks bis zur prüfbaren Umsetzung
• Interne Audits (Planung & Nachbereitung): Auditprogramm/-plan, Durchführung/Begleitung von Interviews, Dokumentation von Abweichungen, Auswertung, Maßnahmenableitung und Wirksamkeitsnachverfolgung
• Externes Audit (Koordination & Abstimmung): Termin-/Scope-Abstimmung, Organisation von Auditterminen, Steuerung von Informationsanforderungen, Begleitung der Auditoren, Nachbereitung inkl. Maßnahmenplan
• Findings & Maßnahmenmanagement: Klassifizierung von Auditfeststellungen, Root-Cause-orientierte Maßnahmensteckbriefe, Ownership/Deadlines, Tracking/Eskalation, Issue Closure inkl. Nachweise
• Auditrelevante Unterlagen & Evidence Management: Pflege/Aktualisierung auditrelevanter Dokumente, Evidence Library, Versionierung/Freigaben, Konsistenz- und Qualitätschecks (Nachvollziehbarkeit/Audit-Trail)
• Stakeholder-Management & Kommunikation: Moderation von Workshops, Enablement von Control Ownern, Status-Reporting/KPIs, professionelle Kommunikation mit internen/externen Stakeholdern (DE/EN)

Standards & Regulatorik:

MaRisk, BAIT, DORA, VAIT, SOX, ISO/IEC 27001; QM nach ISO 9001 (unterstützend):

prozessuale Dokumentation, Nachweisführung, kontinuierliche Verbesserung/KVP; ISAE 3000-3402, IDW RS FAIT 1, IDW PS 330/951 

Tools:

ServiceNow, Jira, RSA Archer, Confluence, MS Office, MS Access, IDEA; Grundkenntnisse in Python

BERUFLICHE ERFAHRUNG

04/2024 ? heute

Rolle: Selbstständig / IT Security & GRC Consultant ? Freiberuflich

Kunde: auf Anfrage, Remote & Onsite (DACH)

Aufgaben:

• Aufbau der freiberuflichen Tätigkeit seit Apr. 2024; ab Nov. 2025 mit Fokus auf ISO/IEC 27001 Audit-Readiness: Steuerung der Auditvorbereitung, Abstimmung mit Control Ownern sowie Status- und Eskalationsmanagement
• Findings-, Maßnahmen- & Evidence-Management: Analyse von Auditfeststellungen, Maßnahmenableitung und -tracking sowie strukturierte Pflege auditrelevanter Nachweise
• Entwicklung von Templates und Methodiken zur Standardisierung und Qualitätssicherung der Auditvorbereitung

10/2020 ? 03/2024

Rolle: Senior Consultant / Assistant Manager ? KPMG Deutschland, Frankfurt am Main

Kunde: IT Security & Regulatory Compliance, Financial Services

Aufgaben:

• End-to-End-Koordination einer EZB-/BaFin-Nachschauprüfung inkl. Planung, Steuerung von Informationsanforderungen, Auditbegleitung auf Management-Ebene sowie Qualitätssicherung der Nachweise
• Feststellungsmanagement und Maßnahmenverfolgung: Strukturierung von Findings, Maßnahmensteckbriefen und Fortschrittstracking in den Fachbereichen; Abstimmung mit Management und geprüften Einheiten
• Auditkoordination & Evidence Management: Steuerung von Informationsanforderungen, Konsolidierung auditrelevanter Unterlagen (PBC), Qualitätssicherung von Nachweisen sowie Nachbereitung von Feststellungen mit den Fachbereichen
• Mitarbeit an der Vorbereitung einer Sonderprüfung gemäß § 44 KWG bei einer großen deutschen Bank. Dazu gehörten die Ableitung, Abstimmung und Umsetzung von Maßnahmen zur Minderung potenzieller aufsichtlicher Feststellungen
• ServiceNow: Design und Implementierung von Audit-Workflows (Reduktion manueller Aufwände um ca. 40%)
• Moderation und Coaching von Fachbereichen zu Kontrollausgestaltung, Nachweisqualität und nachhaltiger Umsetzung (inkl. Schulungen/Enablement)
• Mitwirkung an ISAE-3000/3402-Assurance-Projekten (Nachweisführung, Controls, Reporting) und einer globalen Governance-Restrukturierung eines Ruckversicherers mit 50+ Standorten 
• Management der Publikation regulatorischer Newsletter und Co-Präsentation eines KPMG-Webcasts zum BAIT-Thema der operativen Informationssicherheit (inkl. Resilienz-Aspekten) für 50+ Branchenprofis aus der Finanzindustrie

11/2015 ? 09/2020

Rolle: Senior IT-Auditor / Prüfungsleiter ? KPMG Deutschland, Frankfurt am Main

Kunde: IT-Audit, Financial Services

Aufgaben:

• Leitung von IT-Prüfungen im Rahmen von Jahresabschlussprüfungen; Fokus auf prozess- und kontrollbezogene Prüfungshandlungen (Walkthroughs, Tests) sowie auf revisionssichere Dokumentation 
• Risikobasiertes Scoping, Dokumentation von Kontrollabweichungen sowie Abstimmung von Optimierungs- und Remediation-Maßnahmen mit Verantwortlichen. Effizienzsteigerung der Prüfungsbudgets um 15 ? 20%
• Einführung automatisierter Prüfungsworkflows (Reduktion manueller Tests um ca. 60%)
• Präsentation wesentlicher Feststellungen und Empfehlungen gegenüber Management und Revision (Deutsch/Englisch)