Über mich Leistungen Projekte Kontakt FAQ
CISA · IT Audit · Risk & Controls · München

IT-Audit & Risikomanagement.
Kontrolle gewinnen.

Alexander Graf ist ein unabhängiger Berater in den Bereichen IT Audit, Security, internen Kontrollsystemen (IKS) und Risikomanagement mit Sitz in München. 13 Jahre Erfahrung, CISA-Zertifizierung, Big-4-Background (PwC).

Kostenlosen Call buchen Leistungen ansehen
Alexander Graf – Freiberuflicher IT-Auditor und CISA-zertifizierter Consultant in München
Über mich

IT-Compliance braucht Erfahrung.

Technologie entwickelt sich rasant – und damit wachsen Risiken und Unsicherheiten. Doch wo Risiken entstehen, entstehen auch Chancen. Alexander Graf unterstützt als unabhängiger Berater Unternehmen dabei, ihre IT-Kontrolllandschaft zu verstehen, zu prüfen und gezielt zu verbessern.

Mit über 13 Jahren Erfahrung in der Prüfung und Implementierung interner Kontrollsysteme (IKS) – zunächst als Manager bei PricewaterhouseCoopers AG in Zürich, heute als freiberuflicher Consultant – verbindet er tiefes technisches Verständnis mit praxisnaher Umsetzungskompetenz.

Alexander Graf Consulting bietet spezialisierte IT-Audit- und Beratungsleistungen im DACH-Raum. Schwerpunkte sind IT General Controls, SOX-Compliance, ISAE 3402 Assurance, IT-Risikomanagement sowie regulatorische Compliance (BAIT, MaRisk, DORA). Alexander Graf ist Inhaber der Certified Information Systems Auditor (CISA)-Zertifizierung, vergeben von ISACA – dem weltweit führenden Berufsverband für IT-Audit und IT-Governance.

IT Audit Interne Kontrollsysteme (IKS) Identity & Access Management Change Management IT General Controls (ITGC) SOX Compliance ISAE 3402 / SSAE 16 Operational Resilience Business Continuity (BCM) Incident & Problem Management IT-Betrieb Programmentwicklung BAIT MaRisk Outsourcing Third-Party Assurance Anti-Money Laundering (AML) IT Transformation SDLC IT Due Diligence (M&A) Risk Assessment Governance & Compliance Prozessmodellierung Gap-Analyse CISA ITIL CoBIT COSO Aris Connect ServiceNow Jira / Confluence Big 4 · PwC ISO 27001 / ISMS BSI IT-Grundschutz DORA NIS2 DSGVO / GDPR IT-Governance Cloud Compliance Privileged Access Management KRITIS
13+
Jahre IT-Audit
PwC
Big-4-Background
30+
Betreute Kunden
4
Branchen
Leistungen

Was ich für Sie leiste.

Von der Prüfung bestehender Kontrolllandschaften bis zur vollständigen Implementierung neuer IKS-Strukturen – maßgeschneiderte Lösungen für regulatorische und operative Herausforderungen.

01

IT Audit & Interne Kontrollsysteme

  • Planung und Durchführung von IT-Audits (ITGC)
  • Design und Implementierung von IKS
  • Prüfung Design & Operating Effectiveness
  • Key Controls Testing (SOX, ISAE 3402)
  • Schwachstellenidentifikation & Reporting
02

Risk & Compliance

  • Regulatorische Compliance (BAIT, MaRisk)
  • Business Continuity Management (BCM)
  • Outsourcing & Third-Party Assurance
  • Operational Risk Management
  • Richtlinien & Verfahrensanweisungen
03

IT-Transformation & Projektassurance

  • Projektbegleitende Prüfungen (SDLC)
  • Go-Live Readiness Assessments
  • IT Due Diligence (M&A)
  • PMO & Quality Assurance
  • Prozessmodellierung (Aris Connect)
🔄

Flexible Zusammenarbeit auf Retainer-Basis

Sie suchen einen verlässlichen Sparringspartner, ohne sich langfristig zu verpflichten? Ich stehe Ihnen monatlich auf Retainer-Basis zur Verfügung – flexibel skalierbar, ohne langfristigen Vertrag.

Mehr erfahren & anfragen Kostenlosen Call buchen
Projektportfolio

Ausgewählte Projekterfahrungen.

Aus freiberuflicher Tätigkeit und bei PricewaterhouseCoopers AG, Zürich.

Großbank – ERM & SOX Controls Prüfung

Prüfung interner Schlüsselkontrollen im Enterprise Risk Management. Testskripts, Schwachstellenidentifikation, Management Reporting und Prozessmodellierung in Aris Connect.

SOXIKSIdentity & Access MgmtChange ManagementIncident ManagementOperational ResilienceAris ConnectITGC
Großes Industrieunternehmen – IT Security Gap-Analyse

Gap-Analyse für einen neu eingeführten IT-Security-Standard für 15+ Entitäten in USA, Indien und China. Direkte Berichterstattung an den CISO.

IT SecurityGap-AnalyseRisk AssessmentCISO ReportingGovernance & ComplianceInternational
Mittelständisches Industrieunternehmen – IKS-Aufbau

Aufbau eines internen Kontrollsystems für den Betrieb und dessen IT- und Geschäftsprozesse im Werkzeugbau. Prüfung der Kontrollen, Berichterstattung an das Management.

IKS DesignIT-BetriebProzessmodellierungKontrolltestingManagement Reporting
Schweizer Versicherung – IKS Harmonisierungsprojekt

Projektleitung (PwC) für ein gruppenweites IKS-Harmonisierungsprojekt. Aufbau neues IKS inkl. Risiken, Kontrollziele, Schlüsselkontrollen. Rollout in ausländische Tochtergesellschaften.

ProjektleitungIKSIdentity & Access MgmtChange ManagementIT-BetriebRollout International
Schweizer Retailbank – IKS nach ISAE 3402

Aufbau IKS nach ISAE 3402 in den Bereichen IT-Betrieb und Geschäftsprozessen. Readiness Assessment und jährliche Operating-Effectiveness-Prüfung.

ISAE 3402IKSReadiness AssessmentOperating EffectivenessIT-BetriebBanking
Schweizer Versicherung – PMO & Quality Assurance

PMO und Quality Assurance für ein gruppenweites IT-Projekt (unit-linked products). Testmanagement-Konzept, Jour-Fixe Koordination, Dokumentenpflege in Confluence.

PMOQuality AssuranceTestmanagementConfluenceSDLCVersicherung
Schweizer Retailbank – Größtes IT-Transformationsprojekt der Schweiz

Projektbegleitende Prüfung (Manager-Rolle) über alle SDLC-Phasen: Requirements, Testing, Security, Go-Live. Jährlicher ITGC-Audit und Prüfung Geldwäschegesetz-Vorgaben.

IT TransformationSDLCITGCAMLGo-Live ReadinessIdentity & Access MgmtChange Management
Britischer Vermögensverwalter – ISAE 3402 IKS

Aufbau IKS nach ISAE 3402 für IT-Betrieb und Geschäftsprozesse. Jährliche Operating-Effectiveness-Prüfung und IT-Audit in Zugriffsmanagement und Change Management.

ISAE 3402Third-Party AssuranceIdentity & Access MgmtChange ManagementIT-BetriebAsset Management
Kontakt

Lassen Sie uns sprechen.

Fragen zu meinen Leistungen, Retainer-Konditionen oder einem konkreten Projekt? Ich freue mich auf Ihre Nachricht oder einen direkten 30-minütigen Kennenlern-Call.

📍
StandortMünchen, Deutschland
✉️
📅

Buchen Sie direkt einen kostenlosen 30-minütigen Kennenlern-Call.

Jetzt Call buchen (Calendly)

Nachricht senden

Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu.

Häufige Fragen

Häufig gestellte Fragen.

Was ist ein IT-Audit und warum braucht mein Unternehmen einen?

Ein IT-Audit ist eine systematische Prüfung der IT-Systeme, -Prozesse und -Kontrollen eines Unternehmens. Ziel ist es, Schwachstellen zu identifizieren, die Einhaltung regulatorischer Anforderungen sicherzustellen und die Wirksamkeit interner Kontrollen zu bewerten. Unternehmen benötigen IT-Audits, um Risiken wie Datenverlust, Cyberangriffe oder Compliance-Verstöße frühzeitig zu erkennen und zu minimieren.

Was ist ein internes Kontrollsystem (IKS) und wie wird es implementiert?

Ein internes Kontrollsystem (IKS) ist ein Rahmenwerk aus Richtlinien, Verfahren und Kontrollen, das die Zuverlässigkeit der Finanzberichterstattung, die Einhaltung von Gesetzen und die Effizienz betrieblicher Abläufe sicherstellt. Die Implementierung umfasst die Risikoanalyse, die Definition von Kontrollzielen, das Design von Schlüsselkontrollen und deren regelmäßige Überprüfung auf Design- und Operating-Effectiveness.

Was bedeutet SOX-Compliance und welche Unternehmen sind betroffen?

SOX-Compliance bezieht sich auf die Einhaltung des Sarbanes-Oxley Act, der strenge Anforderungen an die interne Kontrolle über die Finanzberichterstattung stellt. Betroffen sind alle an US-Börsen notierten Unternehmen sowie deren Tochtergesellschaften weltweit – einschließlich zahlreicher Unternehmen im DACH-Raum. Alexander Graf unterstützt bei der Prüfung und Implementierung von SOX IT Controls.

Was ist ISAE 3402 und wann wird eine ISAE-3402-Prüfung benötigt?

ISAE 3402 ist ein internationaler Prüfungsstandard für Dienstleistungsunternehmen, der die Wirksamkeit interner Kontrollen gegenüber Kunden nachweist. Eine ISAE-3402-Prüfung wird typischerweise von IT-Dienstleistern, Rechenzentren, Cloud-Anbietern oder Outsourcing-Providern benötigt, deren Kunden sich auf die Kontrollen des Dienstleisters verlassen müssen.

Welche Vorteile bietet ein freiberuflicher IT-Auditor gegenüber einer großen Beratung?

Ein freiberuflicher IT-Auditor bietet dieselbe fachliche Tiefe wie große Beratungshäuser – oft mit Big-4-Erfahrung – aber zu deutlich günstigeren Tagessätzen und mit höherer Flexibilität. Sie erhalten direkten Zugang zum Senior-Experten ohne Junior-Staffing, schnellere Reaktionszeiten und eine partnerschaftliche Zusammenarbeit auf Augenhöhe.

Was sind IT General Controls (ITGC) und warum sind sie wichtig?

IT General Controls (ITGC) sind grundlegende Kontrollen, die die Integrität und Zuverlässigkeit der IT-Umgebung eines Unternehmens sicherstellen. Sie umfassen typischerweise die Bereiche Zugriffsmanagement (Identity & Access Management), Änderungsmanagement (Change Management), IT-Betrieb und Programmentwicklung. Wirksame ITGCs bilden die Basis für die Verlässlichkeit aller anwendungsspezifischen Kontrollen.

Was ist DORA und welche Auswirkungen hat die Verordnung auf Finanzunternehmen?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die seit Januar 2025 verbindliche Anforderungen an die digitale operationelle Resilienz von Finanzunternehmen stellt. Sie umfasst IT-Risikomanagement, Incident Reporting, Resilience Testing und das Management von ICT-Drittanbietern. Unternehmen im Finanzsektor müssen ihre IT-Kontrollen und -Prozesse entsprechend anpassen.

Wie läuft eine Zusammenarbeit mit Alexander Graf Consulting ab?

Die Zusammenarbeit beginnt mit einem kostenlosen 30-minütigen Kennenlerngespräch, in dem Ihre Anforderungen und der Projektumfang besprochen werden. Anschließend erhalten Sie ein maßgeschneidertes Angebot. Die Zusammenarbeit ist flexibel gestaltbar – projektbasiert oder auf Retainer-Basis, vor Ort in München oder remote im gesamten DACH-Raum.