Dr Michael Schirmbrand Mai 2006 BUSINESS ADVISORY SERVICE INFORMATION RISK MANAGEMENT Standards für IT - Audit und IT - Governance

Dr Michael Schirmbrand Mai 2006

Dr Michael Schirmbrand Mai 2006

BUSINESS ADVISORY SERVICE

INFORMATION RISK MANAGEMENT

Standards für IT - Audit und

IT - Governance

2Michael Schirmbrand

Mai 2006Michael Schirmbrand

Mai 2006

AgendaAgenda

Aktuelle EntwicklungenAktuelle Entwicklungen

IT GovernanceIT Governance

(Neue) Internationale und Nationale Compliance-(Neue) Internationale und Nationale Compliance-Anforderungen (inkl Sarbanes-Oxley)Anforderungen (inkl Sarbanes-Oxley)

Standards für IT Prozesse und ComplianceStandards für IT Prozesse und ComplianceITILITILCobiTCobiTWeitere relevante StandardsWeitere relevante StandardsIntegration von CobiT mit ITIL, ISO 17799, CMMI, etc Integration von CobiT mit ITIL, ISO 17799, CMMI, etc

AusblickAusblick

3

IT GovernanceAktuelle Entwicklungen

IT GovernanceAktuelle Entwicklungen



Mai 2006

Beobachtungen in ÖsterreichBeobachtungen in Österreich

Mehr als 50% der Unternehmen haben keine IT Mehr als 50% der Unternehmen haben keine IT StrategieStrategie80% der Großunternehmen haben kein 80% der Großunternehmen haben kein nachvollziehbares IT Steuerungsgremiumnachvollziehbares IT SteuerungsgremiumBei einem Großteil der Unternehmen sind die IT Ziele Bei einem Großteil der Unternehmen sind die IT Ziele nicht erkennbar an den Unternehmenszielen nicht erkennbar an den Unternehmenszielen ausgerichtetausgerichtetDer Nutzen von (IT) Projekten wird meist nicht Der Nutzen von (IT) Projekten wird meist nicht gemessengemessenBei mehr als 50% der Unternehmen sind IT Prozesse Bei mehr als 50% der Unternehmen sind IT Prozesse nicht dokumentiert oder messbarnicht dokumentiert oder messbarBei mehr als 90% der Unternehmen sind Kontrollen in Bei mehr als 90% der Unternehmen sind Kontrollen in IT Prozessen nicht dokumentiert oder nachvollziehbarIT Prozessen nicht dokumentiert oder nachvollziehbar



Mai 2006

20 % der IT Budgets gehen weltweit verloren

Aktuelle Schlagzeilen



Mai 2006

• 85% der Untenehmen verlangen 85% der Untenehmen verlangen Busines-Cases für ChangesBusines-Cases für Changes

• Nur 40% der freigegebenen Nur 40% der freigegebenen Projekte basieren auf Projekte basieren auf realistischen Nutzen-Statementsrealistischen Nutzen-Statements

• Weniger als 10% der Unter-Weniger als 10% der Unter-nehmen stellen nachträglich nehmen stellen nachträglich sicher, dass Nutzen tatsächlich sicher, dass Nutzen tatsächlich generiert wurdegeneriert wurde

• Weniger als 5% definieren Weniger als 5% definieren persönliche Verantwortung für persönliche Verantwortung für die Nutzenstiftungdie Nutzenstiftung

NutzenNutzen RisikenRisikenKostenKosten

(Meta Group Juli 2004)(Meta Group Juli 2004)

IT Governance:Wesentlich ist die Generierung von Nutzen durch die IT



Mai 2006

IT Governance: Eine DefinitionIT Governance: Eine Definition

CorporateGovernance

ITGovernance

BusinessInformations-systeme Für IT Governance sind Vorstand und

Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate-Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt

— IT Governance Institute



Mai 2006

KPMG IT Governance Survey 2004 – Eingesetzte Verfahren zur IT GovernanceKPMG IT Governance Survey 2004 – Eingesetzte Verfahren zur IT Governance

14.4%

15.4%

17.4%

33.0%

43.8%

45.6%

55.1%

56.7%

76.6%

0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% 80.0% 90.0%

ISO17799

COBIT

IT Infrastructure Library

Externe Benchmarks

Benutzerzufriedenheit

Regelmäßig erstellte Berichte an das Top-Management

IT Steering Committee

Internes Audit

Projektcontrolling und -management



Mai 2006

IT Governance - StatusIT Governance - Status

Ergebnisse des IT Governance Survey zeigen, dass IT Ergebnisse des IT Governance Survey zeigen, dass IT Governance eingesetzt wird, um …Governance eingesetzt wird, um …

Compliance mit Gesetzen herzustellen (71%)Compliance mit Gesetzen herzustellen (71%)

Kosten des Betriebs zu senken (67%)Kosten des Betriebs zu senken (67%)

Steuerung zu verbessern (61%)Steuerung zu verbessern (61%)

Strategische Wettbewerbsvorteile zu erzielen (41%)Strategische Wettbewerbsvorteile zu erzielen (41%)

83% sind der Überzeugung, dass die derzeitige IT 83% sind der Überzeugung, dass die derzeitige IT Governance verbessert werden soll.Governance verbessert werden soll.



Mai 2006

IT Governance - StatusIT Governance - Status

Die Umfrage hat gezeigt, dass Unternehmen IT Governance Die Umfrage hat gezeigt, dass Unternehmen IT Governance umsetzen, um …umsetzen, um …

Sarbanes-Oxley (oder ähnliche) Anforderungen umzusetzenSarbanes-Oxley (oder ähnliche) Anforderungen umzusetzen

Unwirksame und unreife IT Governance zu verbessernUnwirksame und unreife IT Governance zu verbessern

Die Verbindung von IT Ressourcen und Unternehmenszielen zu Die Verbindung von IT Ressourcen und Unternehmenszielen zu verbessernverbessern

Den Bedarf zu decken, den Nutzen von IT Investitionen Den Bedarf zu decken, den Nutzen von IT Investitionen darzustellendarzustellen

Veränderungen im Kerngeschäft oder der Technologie zu Veränderungen im Kerngeschäft oder der Technologie zu bewältigenbewältigen

Die Unzufriedenheit mit der IT und den von ihr erbrachten Services Die Unzufriedenheit mit der IT und den von ihr erbrachten Services zu verringernzu verringern



Mai 2006

ISACA Market Research 2004 – Probleme der letzten 12 MonateISACA Market Research 2004 – Probleme der letzten 12 Monate

41%

40%

38%

38%

35%

35%

34%

28%

27%

24%

5%

7%

Keine Übersicht über die Qualitätder Leistungen der IT

Operative Fehler der IT

Probleme mit IT Personal

Anzahl von Problems und Incidents

Hohe IT Kosten und geringer Nutzen

Kenntnis wichtiger IT Systeme

Verwaltbarkeit von Daten

Keine Verbindung zwischen Unternehmens- und IT Strategie

Hohe Abhängigkeit von nicht verwaltbaren Organisationen

Anzahl von Fehlern in wichtigen Systemen

Keine

Andere



Mai 2006

ISACA Market Research 2004 – Aufwand zur ProblemlösungISACA Market Research 2004 – Aufwand zur Problemlösung













Mai 2006

ISACA Market Research 2004 – Ist IT lösungsorientiert?ISACA Market Research 2004 – Ist IT lösungsorientiert?











Problem Lösungsaufwand



Mai 2006

Strategic AlignmentStrategic Alignment Value DeliveryValue Delivery IT Asset ManagementIT Asset Management Risk ManagementRisk Management Performance Performance

MeasurementMeasurement

GartnerGartner CSCCSC CompassCompass GigaGiga AICPA/CICAAICPA/CICA CIO MagazineCIO Magazine Technology Technology

CouncilCouncil

Prioritäten der AnalystenPrioritäten der Analysten

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT Governance



Mai 2006

IT Governance DomänenIT Governance Domänen

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT Governance



Mai 2006

Stabiler Wert und Vertrauen

IT GovernanceBalance zwischen Risiko und PerformanceIT GovernanceBalance zwischen Risiko und Performance

ProzessVerbesserung

VerbesserteKontrolle

IntegriertesRisiko Management

ProzessTransformation

Performance

Ris

iko

Compliance

Die Rechtssprechung Die Rechtssprechung zieht das Pendel in zieht das Pendel in Richtung RisikoRichtung Risiko

Wettbewerb und Wettbewerb und Marktdruck drücken Marktdruck drücken das Pendel Richtung das Pendel Richtung PerformancePerformance

IT Governance managt IT Governance managt die Balance zwischen die Balance zwischen Risikomanagement Risikomanagement und Performance-und Performance-erfordernis.erfordernis.



Mai 2006

Wesentliche Standards für IT GovernanceWesentliche Standards für IT Governance

forderndfordernd

Fachgutachten (IFAC, AICPA, KWT)Fachgutachten (IFAC, AICPA, KWT)

SAS 70SAS 70

Sarbanes Oxley ActSarbanes Oxley Act

Sonstige relevante GesetzeSonstige relevante Gesetze

helfendhelfend

CobiTCobiT

ITILITIL

ISO 17799ISO 17799

CMMICMMI

18

FachgutachtenFachgutachten



Mai 2006

Herausgebende OrganisationenHerausgebende Organisationen

IFAC – International Federation of AccountantsIFAC – International Federation of AccountantsISA (ISA (ISA 402 - Audit Considerations relating to Entities using ISA 402 - Audit Considerations relating to Entities using Service Organizations)Service Organizations)

AICPA – American Institute of CPAsAICPA – American Institute of CPAsSAS (zB SAS/70 - Reports on the Processing of Transactions by SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations)Service Organizations)

PCAOB – Public Company Accounting Oversight BoardPCAOB – Public Company Accounting Oversight BoardAuditing StandardsAuditing Standards

KFS – Kammer der WT - Fachsenat für DatenverarbeitungKFS – Kammer der WT - Fachsenat für DatenverarbeitungKFS/DV1KFS/DV1KFS/DV2KFS/DV2

IDW – Institut der WirtschaftsprüferIDW – Institut der WirtschaftsprüferPS331 (Serviceorganisationen)PS331 (Serviceorganisationen)FAIT (Fachgutachten für die Prüfung von Informationstechnologie)FAIT (Fachgutachten für die Prüfung von Informationstechnologie)



Mai 2006

ISAs (IFAC)ISAs (IFAC)

Standards der International Federation of AccountantsStandards der International Federation of AccountantsFür (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln Für (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln dagegen sprechendagegen sprechen

Vom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordertVom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordert

De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“

Auszug aus den ISAsAuszug aus den ISAsISA 200 - Objective and General Principles Governing an Audit of Financial ISA 200 - Objective and General Principles Governing an Audit of Financial

StatementsStatements

ISA 315 - Understanding the Entity and its Environment and Assessing Risks ISA 315 - Understanding the Entity and its Environment and Assessing Risks of Material Misstatementof Material Misstatement

ISA 330 - The Auditors Procedures in Response to Assessed RisksISA 330 - The Auditors Procedures in Response to Assessed Risks

ISA 402 - Audit Considerations relating to Entities using Service ISA 402 - Audit Considerations relating to Entities using Service OrganizationsOrganizations

ISA 500 - Audit EvidenceISA 500 - Audit Evidence



Mai 2006

Fachgutachten ÖsterreichFachgutachten Österreich

KFS/DV1 der Kammer der WTKFS/DV1 der Kammer der WT

Allgemeine Anforderungen (Belegfunktion, Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...)Journalfunktion, Kontenfunktion,...)

Forderung nach FunktionstrennungForderung nach Funktionstrennung

Detaillierte Forderungen an die Detaillierte Forderungen an die SystemdokumentationSystemdokumentation

KFS/DV 2 KFS/DV 2

Richtlinien zur Prüfung der IT im Rahmen von Richtlinien zur Prüfung der IT im Rahmen von JahresabschlussprüfungenJahresabschlussprüfungen



Mai 2006

KFS/DV 1 - OrdnungsmäßigkeitKFS/DV 1 - Ordnungsmäßigkeit

Gliederung des FachgutachtensGliederung des FachgutachtensGrundsätzeGrundsätzeDie Prüfbarkeit als OrdnungsmäßigkeitskriteriumDie Prüfbarkeit als OrdnungsmäßigkeitskriteriumDie Nachvollziehbarkeit des einzelnen GeschäftsvorfallesDie Nachvollziehbarkeit des einzelnen GeschäftsvorfallesBelegfunktionBelegfunktionJournalfunktionJournalfunktionKontenfunktionKontenfunktionVerfahrensdokumentationVerfahrensdokumentationDas Interne KontrollsystemDas Interne KontrollsystemSystemeinführung und WeiterentwicklungSystemeinführung und WeiterentwicklungAufbauorganisationAufbauorganisationAblauforganisationAblauforganisationDokumentationDokumentation



Mai 2006

KFS/DV 1 - GrundsätzeKFS/DV 1 - Grundsätze

Allgemeine AnforderungenAllgemeine Anforderungen

Kaufmann buchführungspflichtig und für Kaufmann buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren)Fremd-SW und Online-Verfahren)

RadierverbotRadierverbot

Prüfspur progressiv und retrogradPrüfspur progressiv und retrograd

Verbot nachträglicher SchreibvorgängeVerbot nachträglicher Schreibvorgänge



Mai 2006

KFS/DV 1 - PrüfbarkeitKFS/DV 1 - Prüfbarkeit

VerfahrensdokumentationVerfahrensdokumentationFür Programmentwicklungen, Change Management, Zukäufe von SW Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein:(inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein:

Anforderung/AufgabenstellungAnforderung/AufgabenstellungDatensatzaufbauDatensatzaufbauVerarbeitungsregeln (inkl. Steuerungsparameter, Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlungund FehlerbehandlungDatenausgabeDatenausgabeDatensicherungDatensicherungVerfügbare ProgrammeVerfügbare ProgrammeArt, Inhalt und Umfang der durchgeführten TestsArt, Inhalt und Umfang der durchgeführten Tests Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)VersionsmanagementVersionsmanagement

Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,……Eventuell können Teile davon auch von externen Dritten zur Verfügung Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdengestellt werden



Mai 2006

KFS/DV 1 - IKSKFS/DV 1 - IKS

Zusätzlich notwendigZusätzlich notwendig

Funktionstrennung Funktionstrennung (Fachabteilung/Entwickler/Admin)(Fachabteilung/Entwickler/Admin)

Zugriffsberechtigungen auf allen SystemebenenZugriffsberechtigungen auf allen Systemebenen

DatensicherungenDatensicherungen

Schutz vor Sabotage, Missbrauch und VernichtungSchutz vor Sabotage, Missbrauch und Vernichtung

KontinuitätsmanagementKontinuitätsmanagement

Aufbewahrung sämtlicher Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreDokumentationsbestandteile für 7 Jahre



Mai 2006

IDW RS FAIT 2 - DokumentationIDW RS FAIT 2 - Dokumentation

Deutsches Fachgutachten – in einigen Bereichen zur Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1Klarstellung detaillierter als KFS/DV 1

Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:

Doku HW/SW (zB Router, Firewall, Virenscanner,..)Doku HW/SW (zB Router, Firewall, Virenscanner,..)

Netzwerkarchitektur (auch Anbindung ISP)Netzwerkarchitektur (auch Anbindung ISP)

Verwendete ProtokolleVerwendete Protokolle

VerschlüsselungsverfahrenVerschlüsselungsverfahren

SignaturverfahrenSignaturverfahren

Datenflusspläne, Schnittstellen, relevante KontrollenDatenflusspläne, Schnittstellen, relevante Kontrollen

Autorisierungsverfahren, Verfahren zur Generierung von Autorisierungsverfahren, Verfahren zur Generierung von BuchungenBuchungen



Mai 2006

IDW RS FAIT 2 - IKSIDW RS FAIT 2 - IKS

Für IKS zusätzlich notwendigFür IKS zusätzlich notwendig

Firewall Einstellungen (+Überprüfungen)Firewall Einstellungen (+Überprüfungen)

Firewall-Logs (+Überprüfungen)Firewall-Logs (+Überprüfungen)

Change Management für die gesamte Infrastruktur Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,)(Firewalls, Router, Switches,..,)

Scanner (IDS, Viren, Kontrollen,..)Scanner (IDS, Viren, Kontrollen,..)

Penetration TestsPenetration Tests

Überprüfung dieser Themen durch die RevisionÜberprüfung dieser Themen durch die Revision

Dient nur als Beispiel; in Deutschland alles für 10 Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahrenJahre aufzubewahren



Mai 2006

Überblick Fachgutachten KFS/DV 2Überblick Fachgutachten KFS/DV 2

Fachgutachten „Die Prüfung der IT im Rahmen von Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“Abschlussprüfungen“

Erarbeitet durch FS DVErarbeitet durch FS DV

Gemeinsame Überarbeitung durch FS DV und FS Gemeinsame Überarbeitung durch FS DV und FS HRHR

Verabschiedet im November 2004Verabschiedet im November 2004



Mai 2006

Struktur KFS/DV 2Struktur KFS/DV 2

A.A. VorbemerkungenVorbemerkungenA.1.A.1. Anwendungsbereich des FachgutachtensAnwendungsbereich des FachgutachtensA.2.A.2. Einbindung in die AbschlussprüfungEinbindung in die AbschlussprüfungB.B. Ziel und Umfang der Prüfung der InformationstechnikZiel und Umfang der Prüfung der InformationstechnikC.C. Tätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikTätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikC.1.C.1.Berücksichtigung der Prüfung der Informationstechnik bei der PrüfungsplanungBerücksichtigung der Prüfung der Informationstechnik bei der PrüfungsplanungC.2.C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften UnternehmensGewinnung eines Überblicks über die Informationstechnik des geprüften UnternehmensC.3.C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden RisikenFeststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden RisikenC.4.C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der

RisikenRisikenAnwendungsunabhängige Kontrollen der Informationstechnik-ProzesseAnwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der GeschäftsprozesseAnwendungsabhängige Kontrollen der Geschäftsprozesse

C.5.C.5.Prüfungshandlungen des AbschlussprüfersPrüfungshandlungen des AbschlussprüfersPrüfung der anwendungsunabhängigen KontrollenPrüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen KontrollenPrüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger BuchführungPrüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung

C.6.C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenDokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenD.D. Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes

Unternehmen (IT‑Outsourcing)Unternehmen (IT‑Outsourcing)



Mai 2006

KFS/DV 2 - GrundsätzeKFS/DV 2 - Grundsätze

Prüfung der IT ist der der Prüfung des Internen Prüfung der IT ist der der Prüfung des Internen KontrollsystemsKontrollsystems

Geprüft werden die Geprüft werden die IT Qualitätsmerkmale der IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Integrität, Konformität und Wartbarkeit (nicht Effizienz)Effizienz)

Risikoorientierte PrüfungRisikoorientierte Prüfung

Prüfung von StichprobenPrüfung von Stichproben

Abhängig von Größe und Komplexität des Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten SystemeUnternehmens und der eingesetzten Systeme



Mai 2006

KFS/DV 2 – Grobüberblick über IT PrüfungenKFS/DV 2 – Grobüberblick über IT Prüfungen

Gewinnung eines Überblicks über Systeme und Gewinnung eines Überblicks über Systeme und AbläufeAbläufe

Prüfung der IT Prozesse (anwendungsPrüfung der IT Prozesse (anwendungsununabhängige abhängige IT Kontrollen), orientiert zB an CobITIT Kontrollen), orientiert zB an CobIT

Prüfung der Anwendungen (anwendungsabhängige Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)IT Kontrollen)



Mai 2006

Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,...IFAC Guideline on Monitoring, SysTrust,...

Prüfung des IT Überwachungssystems (IT Umfeld, Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT InfrastrukturIT Organisation, IT Infrastruktur

IT Governance, IT Controlling, Kontrolle der IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der KontrollenNachvollziehbarkeit der Kontrollen

KFS/DV 2 – Prüfung anwendungsunabhängig (2)



Mai 2006

KFS/DV 2 – Prüfung anwendungsabhängigKFS/DV 2 – Prüfung anwendungsabhängig

Einholung von Informationen über die relevanten AnwendungenEinholung von Informationen über die relevanten Anwendungen

Prüfung und Beurteilung der Programmfunktionen: insbesondere Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der PrüfungHauptbuch Bestandteil der Prüfung

Prüfung der Anwendungskontrollen: hierzu gehören das interne Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.



Mai 2006

KFS/DV 2 - OutsourcingKFS/DV 2 - Outsourcing

Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kann kriterien genügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmen insbesondere aus Prüfung von Dienstleistungsunternehmen

oder Serviceunternehmen nach dem oder Serviceunternehmen nach dem Standard ISA 402Standard ISA 402 der IFAC herangezogen werden.der IFAC herangezogen werden.

35

SAS 70SAS 70



Mai 2006

Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)

Standard für die Prüfung von Outsourcing-Dienstleistern Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld)(und deren Kontrollumfeld)

Veröffentlichung der AICPAVeröffentlichung der AICPAGilt grundsätzlich für USA, aber auch bei Bilanzierung Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAPnach US GAAPMittlerweile weltweiter De-Facto Standard für Prüfungen Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-von und für Wirtschaftsprüfern bei (IT ) Service-OrganisationenOrganisationenPraktisch inhaltsgleich zu ISA 402 der IFACPraktisch inhaltsgleich zu ISA 402 der IFACIn Deutschland auch Standard PS 331In Deutschland auch Standard PS 331Achtung: Sarbanes Oxley – vom PCAOB vorgeschriebenAchtung: Sarbanes Oxley – vom PCAOB vorgeschriebenAuch in Österreich bei (fast) allen RZ in UmsetzungAuch in Österreich bei (fast) allen RZ in Umsetzung



Mai 2006

ISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an Prüfer

Anzuwenden bei (Teil-) Outsourcing der ITAnzuwenden bei (Teil-) Outsourcing der IT

Prüfer von RZ-Kunden müssenPrüfer von RZ-Kunden müssen

Report nach SAS 70 / ISA 402 des RZ einholen oderReport nach SAS 70 / ISA 402 des RZ einholen oder

selbst das RZ prüfen oderselbst das RZ prüfen oder

jemanden beauftragen, das RZ nach SAS 70 zu jemanden beauftragen, das RZ nach SAS 70 zu prüfen oderprüfen oder

Bestätigungsvermerk einschränken oder versagenBestätigungsvermerk einschränken oder versagen



Mai 2006

SAS 70 – Die Reports (1)SAS 70 – Die Reports (1)

Typ I: Typ I: ”Report on controls placed in operation””Report on controls placed in operation”Die im Service-Unternehmen vorgesehenen internen Die im Service-Unternehmen vorgesehenen internen Kontrollen, die für einen Kunden relevant sind, werden Kontrollen, die für einen Kunden relevant sind, werden auf Ihre Angemessenheit hin überprüft. Der Report auf Ihre Angemessenheit hin überprüft. Der Report beinhaltet folgende Informationen:beinhaltet folgende Informationen:

den Fluss der Transaktionen des Kunden innerhalb den Fluss der Transaktionen des Kunden innerhalb des Service-Unternehmensdes Service-UnternehmensKontrollen der relevanten Applikationen im Service-Kontrollen der relevanten Applikationen im Service-UnternehmenUnternehmenob diese Kontrollen angemessen sind und ob diese Kontrollen angemessen sind und angewendet werdenangewendet werden

Der Report Typ I umfasst nicht den Test der Der Report Typ I umfasst nicht den Test der eingesetzten Kontrollmaßnahmeneingesetzten Kontrollmaßnahmen..



Mai 2006

Typ II: „Typ II: „Reports on controls placed in operation and Reports on controls placed in operation and tests of operating effectiveness”tests of operating effectiveness”Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser die Effektivität der Kontrollen beurteilt und sich die Effektivität der Kontrollen beurteilt und sich Wirtschaftprüfer in Teilbereichen darauf verlassen können Wirtschaftprüfer in Teilbereichen darauf verlassen können und so bei funktionierenden Kontrollen im und so bei funktionierenden Kontrollen im Rechenzentrum bei Prüfungen von Kunden mit einer Rechenzentrum bei Prüfungen von Kunden mit einer reduzierten Risikoeinschätzung vorgehen können.reduzierten Risikoeinschätzung vorgehen können.

Voraussetzung: Die Kontrollen in Prozessen müssen Voraussetzung: Die Kontrollen in Prozessen müssen definiert und wirksam sein.definiert und wirksam sein.

SAS 70 – Die Reports (2)SAS 70 – Die Reports (2)



Mai 2006

SAS 70 - BerichterstattungSAS 70 - Berichterstattung

Standard-Text für Bestätigungsvermerk definiertStandard-Text für Bestätigungsvermerk definiert

Bei Typ II Report sind die vorhandenen Kontrollen, Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellenDetail dazustellen

Die Verantwortungen von Kunde und RZ sind klar Die Verantwortungen von Kunde und RZ sind klar abzugrenzenabzugrenzen

Bei wesentlichen Mängeln ist der Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagenoder zu versagen



Mai 2006

Würdigung von SAS 70 Reports Typ IIWürdigung von SAS 70 Reports Typ II

Kritisch zu würdigen und eventuell abstützenKritisch zu würdigen und eventuell abstützen

Bei Zweifeln:Bei Zweifeln:

Gespräche mit dem Prüfer des RZGespräche mit dem Prüfer des RZ

Anforderung von Zusatzprüfungen durch den Prüfer Anforderung von Zusatzprüfungen durch den Prüfer des RZdes RZ

Eventuell selbst Zusatzprüfungshandlungen (nicht Eventuell selbst Zusatzprüfungshandlungen (nicht nach ISA 402)nach ISA 402)

Verweis auf SAS 70 Report unzulässigVerweis auf SAS 70 Report unzulässig



Mai 2006

ISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei RechenzentrumskundenISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei Rechenzentrumskunden

Bei Vorliegen von SAS 70/ISA 402 – Reports:Bei Vorliegen von SAS 70/ISA 402 – Reports:

Klares Aufzeigen der Serviceverantwortungen von Klares Aufzeigen der Serviceverantwortungen von Kunde und RechenzentrumKunde und Rechenzentrum

Die IT Prozesse und -Systeme, die in der Die IT Prozesse und -Systeme, die in der Verantwortung des Kunden liegen, sind auch von Verantwortung des Kunden liegen, sind auch von dessen Wirtschaftsprüfer zu prüfendessen Wirtschaftsprüfer zu prüfen

43

Sarbanes OxleySarbanes Oxley



Mai 2006

Sarbanes-Oxley (SOX) Paragraph 404Sarbanes-Oxley (SOX) Paragraph 404

Section 404 des Sarbanes-Oxley Act fordert: Section 404 des Sarbanes-Oxley Act fordert: Unternehmensleitung beurteilt das Interne Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüberFinanzreporting (ICOFR) und berichtet darüberDer externe, unabhängige Prüfer gibt ein Testat Der externe, unabhängige Prüfer gibt ein Testat über den Management-Testüber den Management-Test

Prüfer berichtet direkt über die Wirksamkeit des Prüfer berichtet direkt über die Wirksamkeit des IKSIKSSeit 2004 für US-Unternehmen, die SEC gelistet Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlichsind, erforderlichAndere Unternehmen (foreign issuers) ab 2006Andere Unternehmen (foreign issuers) ab 2006



Mai 2006

PCAOB, Auditing Standard No. 2PCAOB, Auditing Standard No. 2

Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Oversight Board)Oversight Board)

Anforderungen für die SOX-Prüfungen und Anleitung zur Anforderungen für die SOX-Prüfungen und Anleitung zur DurchführungDurchführung

Management TestsManagement Tests

JahresabschlussprüfungJahresabschlussprüfung

Grundsätzlich am Internal Control framework COSO ausgerichtetGrundsätzlich am Internal Control framework COSO ausgerichtet

Umfeld (control environment)Umfeld (control environment)

Risikobewertung (risk assessment)Risikobewertung (risk assessment)

Kontrollen (control activities)Kontrollen (control activities)

Information und Kommunikation (information and communication)Information und Kommunikation (information and communication)

Überwachung (monitoring)Überwachung (monitoring)



Mai 2006

Exkurs: Begriff “Control”Exkurs: Begriff “Control”

Übersetzungen Übersetzungen regeln, beherrschen, führen, leiten, lenken, kontrollieren, regeln, beherrschen, führen, leiten, lenken, kontrollieren, überprüfen, überwachen, …überprüfen, überwachen, …

Kontrollziel (control objective)Kontrollziel (control objective)Statement über einen gewünschten Zustand.Statement über einen gewünschten Zustand.

Kontrolle (control practice)Kontrolle (control practice)beliebige Aktivität oder Einrichtung, die dazu geeignet ist, das beliebige Aktivität oder Einrichtung, die dazu geeignet ist, das Control Objective zu erreichen (kann zB eine physische Control Objective zu erreichen (kann zB eine physische Einrichtung zum Brandschutz, eine Firewall oder anderes sein)Einrichtung zum Brandschutz, eine Firewall oder anderes sein)

Kontrollaktivität (control activity)Kontrollaktivität (control activity)tatsächlich kontrollierende Aktivität (zB Freigabe, Review, …), die tatsächlich kontrollierende Aktivität (zB Freigabe, Review, …), die nachvollziehbar (dokumentiert) sein muss (zB Freigabe des nachvollziehbar (dokumentiert) sein muss (zB Freigabe des Ergebnisses einer Firewall-Prüfung, Review eines Changes, …)Ergebnisses einer Firewall-Prüfung, Review eines Changes, …)



Mai 2006

Was ist ICOFR? Was ist ICOFR?

ICOFR (Internal Control Over Financial Reporting) = Ein Prozess, …ICOFR (Internal Control Over Financial Reporting) = Ein Prozess, ………der von der Unternehmensleitung und Führungsgremien (oder in derem der von der Unternehmensleitung und Führungsgremien (oder in derem Auftrag) festgelegt ist,Auftrag) festgelegt ist,… … der vom Vorstand, Management und anderen Gremien in Kraft gesetzt der vom Vorstand, Management und anderen Gremien in Kraft gesetzt wurdewurde… … mit ziemlicher Sicherheit die Verlässlichkeit des Finanzreportings und mit ziemlicher Sicherheit die Verlässlichkeit des Finanzreportings und die Bilanzerstellung gewährleistetdie Bilanzerstellung gewährleistet… … entsprechend der festgelegten Ordnungsmäßigkeitskriterien definiert ist.entsprechend der festgelegten Ordnungsmäßigkeitskriterien definiert ist.

Es gibt entsprechende Unterlagen (nachvollziehbar, ausreichend Es gibt entsprechende Unterlagen (nachvollziehbar, ausreichend detailliert und richtig) überdetailliert und richtig) über

Aufzeichnung von TransaktionenAufzeichnung von TransaktionenAusgaben und Einnahmen des Unternehmen sind vom Management Ausgaben und Einnahmen des Unternehmen sind vom Management angemessen freigegebenangemessen freigegebenUnberechtigte Transaktionen werden verhindert oder zeitnah erkanntUnberechtigte Transaktionen werden verhindert oder zeitnah erkannt



Mai 2006

Verantwortung des ManagementVerantwortung des Management

Übername der Verantwortung für die Wirksamkeit des Übername der Verantwortung für die Wirksamkeit des IKSIKS

Beurteilung der Wirksamkeit an Hand entsprechender Beurteilung der Wirksamkeit an Hand entsprechender Kriterien (Management-Assessment)Kriterien (Management-Assessment)

Bereitstellung von Evidence und DokumentationBereitstellung von Evidence und Dokumentation

Erstellung einer schriftlichen Erklärung über die Erstellung einer schriftlichen Erklärung über die Wirksamkeit des IKSWirksamkeit des IKS



Mai 2006

Verantwortung des AuditorsVerantwortung des Auditors

Der Auditor muss die Vorgehensweise des Management-Der Auditor muss die Vorgehensweise des Management-Assessments verstehen und die Beurteilung des Managements Assessments verstehen und die Beurteilung des Managements evaluierenevaluieren

Der Auditor muss hierbeiDer Auditor muss hierbei

bestimmen, welche Kontrollaktivitäten wesentlich sindbestimmen, welche Kontrollaktivitäten wesentlich sind

die Kontrollaktivitäten dokumentierendie Kontrollaktivitäten dokumentieren

Design und Wirksamkeit beurteilenDesign und Wirksamkeit beurteilenKontrolle dazu geeignet, das Prozessziel zu erreichenKontrolle dazu geeignet, das Prozessziel zu erreichen

Kontrollen sind den Risiken entsprechend festgelegtKontrollen sind den Risiken entsprechend festgelegt

Kontrollschwächen bestimmen und deren Auswirkung bewerten Kontrollschwächen bestimmen und deren Auswirkung bewerten (Significant Deficiencies oder Material Weaknesses)(Significant Deficiencies oder Material Weaknesses)

Findings und Auswirkungen kommunizierenFindings und Auswirkungen kommunizieren



Mai 2006

IT Controls – gemäß PCAOBIT Controls – gemäß PCAOB

IT controls in drei EbenenIT controls in drei Ebenen

IT Überlegungen im Kontrollumfeld (Planung, IT Überlegungen im Kontrollumfeld (Planung, Organisation, Personal, …)Organisation, Personal, …)

Anwendungskontrollen (Application Controls)Anwendungskontrollen (Application Controls)

IT General ControlsIT General Controls

Management ist für Definition und Test von IT Management ist für Definition und Test von IT Kontrollen auf allen drei Ebenen verantwortlichKontrollen auf allen drei Ebenen verantwortlich

Einsatz eines Control Frameworks, das sich an COSO Einsatz eines Control Frameworks, das sich an COSO orientiert, empfohlenorientiert, empfohlen



Mai 2006

Auswirkungen von Sarbanes Oxley Act auf die ITAuswirkungen von Sarbanes Oxley Act auf die IT

Massive AuswirkungenMassive AuswirkungenKontrollen müssen dokumentiert und geprüft Kontrollen müssen dokumentiert und geprüft werdenwerdengroße Teile der Kontrollen in der IT große Teile der Kontrollen in der IT (oft 50 bis 70 %)(oft 50 bis 70 %)Im Regelfall mehrere hundert KontrollenIm Regelfall mehrere hundert KontrollenWesentliche Kontroll-Schwachstellen sind oft in Wesentliche Kontroll-Schwachstellen sind oft in der ITder ITUnterscheidung in Anwendungskontrollen und Unterscheidung in Anwendungskontrollen und General IT ControlsGeneral IT ControlsCobiT als Standard für General IT Controls CobiT als Standard für General IT Controls anerkanntanerkanntÜberleitung von COSO auf CobiT in einer Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance InstituteVeröffentlichung vom IT Governance Institute



Mai 2006

IT General Controls – gemäß PCAOBIT General Controls – gemäß PCAOB

IT General Controls sind Kontrollen, die zur Steuerung IT General Controls sind Kontrollen, die zur Steuerung von IT Systemen und IT Prozessen im Einsatz sind.von IT Systemen und IT Prozessen im Einsatz sind.

ITGCs sind für Risiken der folgenden Bereiche ITGCs sind für Risiken der folgenden Bereiche umzusetzenumzusetzen

Zugriff zu Programmen und DatenZugriff zu Programmen und DatenÄnderung von ProgrammenÄnderung von ProgrammenEntwicklung von ProgrammenEntwicklung von ProgrammenBetrieb von ITBetrieb von ITEnd User Computing *End User Computing *

* End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken* End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken



Mai 2006

ITGC und AnwendungskontrollenITGC und Anwendungskontrollen

Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, die durch IT Systeme und Applikationen unterstützt werdendie durch IT Systeme und Applikationen unterstützt werdenDer Kernprozess ist üblicherweise für die Identifikation und Der Kernprozess ist üblicherweise für die Identifikation und Dokumentation der Kontrollen zuständigDokumentation der Kontrollen zuständigBeispiele für derartige KontrollenBeispiele für derartige Kontrollen

AutorisierungAutorisierungKonfigurationen (zB Kontenpläne)Konfigurationen (zB Kontenpläne)Ausnahmereports (zB über erfolgte Bearbeitungen)Ausnahmereports (zB über erfolgte Bearbeitungen)SchnittstellenSchnittstellenSystemzugriffSystemzugriff

Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Wirksamkeit von AnwendungskontrollenWirksamkeit von Anwendungskontrollen

Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC automatisch unwirksam!automatisch unwirksam!



Mai 2006

SOX ZusammenfassungSOX Zusammenfassung

Fokussiert auf FinanzberichteFokussiert auf Finanzberichte

Festlegung des IKS durch das ManagementFestlegung des IKS durch das Management

Identifikation von Risiken und ProzessenIdentifikation von Risiken und Prozessen

Identifikation oder Neudefinition von entsprechenden KontrollenIdentifikation oder Neudefinition von entsprechenden Kontrollen

Dokumentation der Prozesse und KontrollenDokumentation der Prozesse und Kontrollen

Regelmäßige Tests der Kontrollen durch das ManagementRegelmäßige Tests der Kontrollen durch das Management

Design: Art der Kontrolle, Anordnung im ProzessDesign: Art der Kontrolle, Anordnung im Prozess

Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Nachvollziehbarkeit der Durchführung von KontrollenNachvollziehbarkeit der Durchführung von Kontrollen

Einleitung und Umsetzung von VerbesserungsmaßnahmenEinleitung und Umsetzung von Verbesserungsmaßnahmen



Mai 2006

Sarbanes-Oxley und die EUSarbanes-Oxley und die EU

Derzeit nur für US-notierte Unternehmen geltendDerzeit nur für US-notierte Unternehmen geltend

Auch für deren Töchter (auch in Österreich und EU)Auch für deren Töchter (auch in Österreich und EU)

Übernahme erster Anforderungen in EU (Public Übernahme erster Anforderungen in EU (Public Oversight Board in 8. EU-Audit-Richtlinie gefordert)Oversight Board in 8. EU-Audit-Richtlinie gefordert)

Ähnlich strenge Regelungen können mittelfristig in der Ähnlich strenge Regelungen können mittelfristig in der EU Realität werdenEU Realität werden

Auch hier gravierende Auswirkungen auf die ITAuch hier gravierende Auswirkungen auf die IT

56

GesetzeGesetze



Mai 2006

GesetzestexteGesetzestexte

§ 189 HGB:§ 189 HGB:

(2) Lesbarkeit(2) Lesbarkeit

(3) Inhaltsgleiche, vollständige, geordnete (3) Inhaltsgleiche, vollständige, geordnete Wiedergabe (volle Aufbewahrungsfrist)Wiedergabe (volle Aufbewahrungsfrist)

§ 131 BAO:§ 131 BAO:

(2) Zusammenhang zw. Buchungen und Belegen (2) Zusammenhang zw. Buchungen und Belegen nachweisbar; Nachweis der Vollständigkeit und nachweisbar; Nachweis der Vollständigkeit und RichtigkeitRichtigkeit

(3) Datenträger können verwendet werden(3) Datenträger können verwendet werden



Mai 2006

Aktiengesetz (AktG)Aktiengesetz (AktG)

Viele Bestimmungen, die zu Corporate Governance Viele Bestimmungen, die zu Corporate Governance beitragen,beitragen,

zB § 81 Quartalsberichte und Jahresberichte an den zB § 81 Quartalsberichte und Jahresberichte an den AufsichtsratAufsichtsrat

§ 92 Ausschüsse für Jahresabschlusserstellung§ 92 Ausschüsse für Jahresabschlusserstellung

Vorstandsverantwortung für Corporate Governance Vorstandsverantwortung für Corporate Governance wird derzeit in § 82 subsummiert:wird derzeit in § 82 subsummiert:

„„Der Vorstand hat dafür zu sorgen [...] dass ein Der Vorstand hat dafür zu sorgen [...] dass ein internes Kontrollsystem geführt wird, das den internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht“.Anforderungen des Unternehmens entspricht“.



Mai 2006

GmbHGGmbHG

Bei großen GmbHs gelten die Bestimmungen des Bei großen GmbHs gelten die Bestimmungen des AktG über Aufsichtsräte sinngemäß.AktG über Aufsichtsräte sinngemäß.

Die Verantwortung der Geschäftsführer für Die Verantwortung der Geschäftsführer für Corporate Governance wird in § 22 subsummiert:Corporate Governance wird in § 22 subsummiert:

„„Die Geschäftsführer haben dafür zu sorgen...dass Die Geschäftsführer haben dafür zu sorgen...dass ein internes Kontrollsystem geführt wird, das den ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht“.Anforderungen des Unternehmens entspricht“.



Mai 2006

IT Compliance nahe GesetzeIT Compliance nahe Gesetze

DatenschutzgesetzDatenschutzgesetz

FernabsatzgesetzFernabsatzgesetz

Telekommunikationsgesetz Telekommunikationsgesetz

Signaturgesetz, SignaturverordnungSignaturgesetz, Signaturverordnung

eCommerce GesetzeCommerce Gesetz

eGovernment GesetzeGovernment Gesetz

InformationssicherheitsgesetzInformationssicherheitsgesetz

Emittenten Compliance Verordnung Emittenten Compliance Verordnung

……



Mai 2006

DSG - Datensicherheit §14 (1/2)DSG - Datensicherheit §14 (1/2)

Maßnahmen zur Gewährleistung der DatensicherheitMaßnahmen zur Gewährleistung der Datensicherheit

Schutz vor zufälliger oder unrechtmäßiger Zerstörung Schutz vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlustund vor Verlust

ordnungsgemäße Verwendungordnungsgemäße Verwendung

Daten Unbefugten nicht zugänglich Daten Unbefugten nicht zugänglich



Mai 2006

DSG Datensicherheit §14 (2/2)DSG Datensicherheit §14 (2/2)

Aufgabenverteilung - Funktionstrennung im UnternehmenAufgabenverteilung - Funktionstrennung im Unternehmen

Gültige Aufträge vorhanden (Dokumentation!)Gültige Aufträge vorhanden (Dokumentation!)

Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften)Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften)

Physische ZugriffssicherheitPhysische Zugriffssicherheit

Logische ZugriffssicherheitLogische Zugriffssicherheit

Absicherung der Geräte gegen unbefugte InbetriebnahmeAbsicherung der Geräte gegen unbefugte Inbetriebnahme

Protokollierung der VerwendungsvorgängeProtokollierung der Verwendungsvorgänge

Dokumentation über die bisher aufgezählten Punkte: Dokumentation über die bisher aufgezählten Punkte: Richtlinien/Auditing/MaßnahmenRichtlinien/Auditing/Maßnahmen

63

Standards für IT GovernanceStandards für IT Governance

64

ITILIT Infrastructure Library

ITILIT Infrastructure Library



Mai 2006

IncidentManagement

ProblemManagement

ChangeManagement

ReleaseManagement

ContinuityManagement

AvailabilityManagement

CapacityManagement

FinancialManagement

Service LevelManagement

Security Management

Configuration Management

ITIL - IT Infrastructure Library ITIL - IT Infrastructure Library



Mai 2006

ITIL – Komponenten (1/2)ITIL – Komponenten (1/2)

Planning to Implement Service ManagementPlanning to Implement Service ManagementWesentliche Aufgaben in der Planung und Umsetzung von IT Service Wesentliche Aufgaben in der Planung und Umsetzung von IT Service ManagementManagement

ICT Infrastructure ManagementICT Infrastructure ManagementNetzwerkmanagementNetzwerkmanagementBetriebsmanagementBetriebsmanagementInstallation von SystemenInstallation von Systemen

Application Management Application Management Softwareentwicklung mit Hilfe eines Lify-Cycle AnsatzesSoftwareentwicklung mit Hilfe eines Lify-Cycle Ansatzes

ITIL Security Management ITIL Security Management Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT SecuritSecurit

The Business PerspectiveThe Business PerspectiveBeziehungsmanagement zum BusinessBeziehungsmanagement zum BusinessOutsourcingOutsourcingKontinuierliche VerbesserungKontinuierliche Verbesserung



Mai 2006

ITIL – Komponenten (2/2)ITIL – Komponenten (2/2)

Service SupportService SupportService Desk Service Desk Configuration ManagementConfiguration Management Incident Management Incident Management Problem Management Problem Management Release Management Release Management Change ManagementChange Management

Service DeliveryService DeliveryService Level ManagementService Level ManagementFinancial ManagementFinancial ManagementCapacity ManagementCapacity ManagementAvailability ManagementAvailability ManagementIT Continuity ManagementIT Continuity Management

http://www.itil.org/itil_063.html

68

CobiTCobiT



Mai 2006

CobiTCobiT

CobiT = Control Objectives for Information and Related CobiT = Control Objectives for Information and Related TechnologyTechnologyProzessorientiertes Framework für die Steuerung von IT Prozessorientiertes Framework für die Steuerung von IT ProzessenProzessenHerausgegeben vom IT Governance Institute, früher ISACAHerausgegeben vom IT Governance Institute, früher ISACAInhalt wird vom CobiT Steering Committee gesteuert und von Inhalt wird vom CobiT Steering Committee gesteuert und von Universitäten, Experten aus den Bereichen IT Management, Universitäten, Experten aus den Bereichen IT Management, Governance, Consulting und Audit entwickeltGovernance, Consulting und Audit entwickeltOrientiert sich an Unternehmenszielen und Orientiert sich an Unternehmenszielen und UnternehmenserfordernissenUnternehmenserfordernissenWerkzeug für Geschäftsführung, IT Management und IT Werkzeug für Geschäftsführung, IT Management und IT ProzessmanagerProzessmanagerBasiert auf einer Vielzahl internationaler StandardsBasiert auf einer Vielzahl internationaler StandardsDokumente auf www.isaca.org zum Download und als Bücher Dokumente auf www.isaca.org zum Download und als Bücher verfügbarverfügbar



Mai 2006

Entwicklung von CobiTEntwicklung von CobiT

Governance

Management

Control

Audit

COBIT 1 COBIT 2 COBIT 3 COBIT 4

1996 1998 2000 2005



Mai 2006

CobiT – BestandteileCobiT – Bestandteile

IT Prozesse

Control Objectives

Control Practices

Audit Guidelines

Activity Goals

Maturity ModelleKey Goal Indicators

Key Performance Indicators

Kerngeschäft

Anforderungen Information

gesteuert durch

realisiert

durchüber

setzt

in

geprüft

durch

effi

zien

t un

d e

ffek

tiv

dur

ch

gem

esse

n du

rch

für

Out

put für Reife

für Perfo

rmance



Mai 2006

Vom Ziel zur ArchitekturVom Ziel zur Architektur

Unternehmensziele für IT

IT Ziele

Unternehmens-architektur für IT

bestimmen

messen

messen

bestimmen

IT S

corecard

Unternehmens- und Governance- Erfordernisse



Mai 2006

Unternehmensziele

IT Ziele

IT Prozesse

Unternehmens Erfordernisse

Governance Erfordernisse

Informations -Services

Information Criteria

erfordern beeinflussen

setzen voraus

Unterstützung durch CobiTUnterstützung durch CobiT

IT Prozesse(mit Verantwortlichen)

liefernInformation

Anwendungen

Infrastrukturund Personal

betreiben

benötigt



Mai 2006

Unternehmensziele für IT

IT Ziele

IT Prozesse

Unternehmens Erfordernisse

Governance Erfordernisse

Informations -Services

Information Criteria

erfordern beeinflussen

setzen voraus

Unterstützung durch CobiTUnterstützung durch CobiT

IT Prozesse(mit Verantwortlichen)

liefernInformation

Anwendungen

Infrastrukturund Personal

betreiben

benötigt



Mai 2006

ProzessmessungProzessmessung

Verstehe Security-erfordernisse,

Schwachstellen und Bedrohungen.

Reviewfrequenz der Arten von

überwachten Security-Vorfällen.

Erkenne und löse unberechtigten

Zugriff auf Informationen,

Anwendungen und Infrastruktur.

Anzahl der Zugriffs-verletzungen

Sicherstellen, dass IT Services Angriffe

überstehen und wieder hergestellt werden können

Anzahl der tatsächlichen Vorfälle mit

Auswirkung auf das Unternehmen

Erhalte den Ruf und die

Vormachtstellung des Unternehmens.

Anzahl von Vorfällen, die

öffentliche Erregung verursachen.

Definiere Ziele

Verbessere Performance

Messe die E

rreichungV

erbe

sser

e un

d ric

hte

neu

aus

Aktivitäts-Ziel

Prozess-ziel

IT Ziel

Unternehmens-Ziel

gemessen durch gemessen durch gemessen durch gemessen durch

Prozessmessung KPIKGI

IT Messung KPIKGI

Unternehmensmessung KPIKGI

trei

ben

trei

ben

trei

ben



Mai 2006

Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)

0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert

0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert

Derzeitiger Status

Internationaler Standard

Strategisches Ziel

Derzeitiger Status

Internationaler Standard

Strategisches Ziel

SymboleSymbole ReifegradeReifegrade

0 1 2 3 4 5

Non-existent(nicht existent)

Initial(initial)

Repeatable(wiederholbar)

Defined(definiert)

Managed(gemanagt)

Optimised(optimiert)



Mai 2006

Der IT Prozess nach CobiTDer IT Prozess nach CobiT

INFORMATION

Monitor and Evaluate

Deliver and Support

Acquire and Implement

Plan and Organise

• Effizienz• Effektivität• Vertraulichkeit• Integrität• Verfügbarkeit• Compliance• Verlässlichkeit

• Anwendungen• Information• Infrastruktur• Personal

IT RESSOURCEN



Mai 2006

Plan and Organize(plane und organisiere)Plan and Organize(plane und organisiere)

PO1 Define a strategic IT plan (Definiere einen strategischen IT Plan)PO2 Define the information architecture (Definiere die

Informationsarchitektur)PO3 Determine technological direction (Bestimme die technologische

Richtung)PO4 Define the IT processes, organisation and relationships (Definiere

die IT Prozesse, Organisation und Beziehungen)PO5 Manage the IT investment (Manage IT Investitionen)PO6 Communicate management aims and direction (Kommuniziere

Ziele und Richtung des Management)PO7 Manage IT human resources (Manage die Human-Ressources)PO8 Manage quality (Manage Qualität)PO9 Assess and manage IT risks (Beurteile und Manage IT Risiken)PO10 Manage projects (Manage Projekte)



Mai 2006

Acquire and Implement(beschaffe und implementiere)Acquire and Implement(beschaffe und implementiere)

AI1 Identify automated solutions (Identifiziere und automatisiere Lösungen)

AI2 Acquire and maintain application software (Beschaffe und erhalte Anwendungssoftware)

AI3 Acquire and maintain technology infrastructure (Beschaffe und erhalte technologische Infrastruktur)

AI4 Enable operation and use (Ermögliche Betrieb und Verwendung)

AI5 Procure IT resources (Beschaffe IT Ressourcen)

AI6 Manage changes (Manage Changes)

AI7 Install and accredit solutions and changes (Installiere und akkreditiere Solutions und Changes)



Mai 2006

Deliver and Support(erbringe und unterstütze)Deliver and Support(erbringe und unterstütze)

DS1 Define and manage service levels (Definiere und manage Service Levels)DS2 Manage third-party services (Manage Leistungen von Dritten)DS3 Manage performance and capacity (Manage Performance und Kapazität)DS4 Ensure continuous service (Stelle den kontinuierlichen Betrieb sicher)DS5 Ensure systems security (Stelle Security von Systemen sicher)DS6 Identify and allocate costs (Identifiziere und verrechne Kosten)DS7 Educate and train users (Schule und trainiere User)DS8 Manage service desk and incidents (Manage den Service Desk und

Incidents)DS9 Manage the configuration (Manage die Konfiguration)DS10 Manage problems (Manage Probleme)DS11 Manage data (Manage Daten)DS12 Manage the physical environment (Manage die physische Umgebung)DS13 Manage operations (Manage den Betrieb)



Mai 2006

Monitor and Evaluate(überwache und evaluiere)Monitor and Evaluate(überwache und evaluiere)

ME1 Monitor and evaluate IT performance (Überwache und evaluiere IT Performance)

ME2 Monitor and evaluate internal control (Überwache und evaluiere Interne Kontrollen)

ME3 Ensure regulatory compliance (Stelle Compliance sicher)

ME4 Provide IT governance (Sorge für IT Governance)



Mai 2006

Bestandteile von ProzessenBestandteile von Prozessen

Prozessbeschreibung

Domäne und InformationResources

IT Ziele

Prozessziele

wichtige Aktivitäten

wichtige Metriken

IT Governance& IT Resources



Mai 2006


RACI-Chart zur Darstellung der Verantwortlichkeiten, zBRACI-Chart zur Darstellung der Verantwortlichkeiten, zB

Inputs und Outputs, zBInputs und Outputs, zB



Mai 2006


Messgrößen auf unterschiedlichen Ebenen und deren Verbindung Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zBzu IT Zielen, zB



Mai 2006


Prozessspezifisches Reifegradmodell, zBProzessspezifisches Reifegradmodell, zB



Mai 2006


214 Detaillierte Control Objectives, zB:214 Detaillierte Control Objectives, zB:

87

ValITValIT



Mai 2006

The Fundamental QuestionThe Fundamental Question

Are we managing our investments Are we managing our investments in IT such that:in IT such that:

we are getting optimal value;we are getting optimal value;

at an affordable cost; andat an affordable cost; and

with an acceptable level of risk?with an acceptable level of risk?



Mai 2006

A New PerspectiveA New Perspective

IT Investments

Investments inIT-enabled Change



Mai 2006

Gartner – more than 600 billion $ thrown away annually on ill conceived or ill executed IT projects

Standish Group – about 20% of projects fail outright, 50% are challenged and only 30% are successful

ITGI 2005 Survey early findings confirm concerns

0% 20% 40% 60% 80% 100%

1998

2000

2002

2004

Successful Failed Challenged

Low return from high-cost IT investments, and transparency of IT’s performance are two of the top issues

More than 30% claim negative return from IT investments targeting efficiency gains

40% do not have good alignment between IT plans and business strategy

Interest in and use of active management of the return on IT investment has doubled in 2 years (28 to 58%)

The Reality



Mai 2006

Projects, Programmes and Portfolios

PortfolioPortfolioManagementManagement

Programme Programme ManagementManagement

Project Project ManagementManagement

Programme – a structured grouping of projects designed to produce clearly identified business value

Project – a structured set of activities concerned with delivering a defined capability based on an agreed schedule and budget

Portfolio – a suite of business programmes managed to optimise overall enterprise value



Mai 2006

The strategic question. Is the investment:In line with our vision?Consistent with our business principles?Contributing to our strategic objectives?Providing optimal value, at affordable cost, at an acceptable level of risk?

In the value question. Do we have:A clear and shared understanding of the expected benefits?Clear accountability for realising the benefits?Relevant metrics?An effective benefits realisation process?

The architecture question. Is the investment:In line with our architecture?Consistent with our architectural principles?Contributing to the population of our architecture?In line with other initiatives?

The delivery question. Do we have:Effective and disciplined delivery and change management processes?Competent and available technical and business resources t deliver:

the required capabilities; andthe organisational changes required to leverage the capabilities.

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?Some fundamental

questionsabout thevalue deliveredby IT

The Four “Ares” - continually asking…



Mai 2006

Val IT Principles

IT-enabled investments will be managed as IT-enabled investments will be managed as a portfolio of investmentsa portfolio of investments. .

IT-enabled investments will include the IT-enabled investments will include the full scope of activities full scope of activities that are that are required to achieve business value. required to achieve business value.

IT-enabled investments will be managed through their IT-enabled investments will be managed through their full economic life full economic life cyclecycle. .

Value delivery practices will recognise that there areValue delivery practices will recognise that there are different categories different categories of investmentsof investments that will be evaluated and managed differently. that will be evaluated and managed differently.

Value delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will and will respond quickly to any changes or deviations. respond quickly to any changes or deviations.

Value delivery practices will engage all stakeholders and assign Value delivery practices will engage all stakeholders and assign appropriate accountabilityappropriate accountability for the delivery of capabilities and the for the delivery of capabilities and the realisation of business benefits. realisation of business benefits.

Value delivery practices will be Value delivery practices will be continually monitored, evaluated and continually monitored, evaluated and improvedimproved. .



Mai 2006

ValITProcesses & Key Management Practices

VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted

accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category

PM1 Maintain human resource inventory

PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements

and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme

concept business casePM8 Evaluate & assign relative score to

programme business casePM9 Create overall portfolio viewPM10 Make and communicate

investment decisionPM11 Stage-gate (and fund) selected

programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio

performance

IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme

ValueGovernance

(VG)

PortfolioManagement

(PM)Investment

Management(IM)

VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted

accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category

PM1 Maintain human resource inventory

PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements

and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme

concept business casePM8 Evaluate & assign relative score to

programme business casePM9 Create overall portfolio viewPM10 Make and communicate

investment decisionPM11 Stage-gate (and fund) selected

programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio

performance

IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme

ValueGovernance

(VG)

PortfolioManagement

(PM)Investment

Management(IM)



Mai 2006

Val IT Framework - DetailVal IT Framework - Detail

Domain: Value Governance (VG)Process CobiT RACI Chart

Description Key Management Practices Cross Ref. Exec Bus IT

CRAPrimary: PO1.1, ME3.1-3, ME3.3Secondary:ME3.2

VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount-abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities and controlling the costs should be clearly assigned and monitored.

CRAPrimary: PO4.6, PO4.15Secondary:PO4.8, PO4.9

VG3 Define roles & responsibilitiesDefine and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand services to allow sufficient authority to exercise the role and responsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship;programme management; project management; and associated supportroles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise.

CRAPrimary: PO4.1, ME1.1, ME1.3, ME3.1Secondary:PO5.2-5, PO10.2

VG2 Define and implement processesDefine, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT-enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocation consistent with the priorities; stage-gating of invest-ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services.

CCA,RPrimary: PO1.2, PO4.4, ME3.1, ME3.2

VG1 Ensure informed and committed leadershipThe reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a sound understand-ing of strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated.

•Establish governance, monitoring and control framework

•Establish Strategic Direction

•Establish portfolio characteristics

96

ISO/IEC 17799:2005ISO/IEC 17799:2005



Mai 2006

ISO/IEC 17799:2005ISO/IEC 17799:2005

Historie:Historie:

CoP for Security ManagementCoP for Security Management

BS7799 Part 1BS7799 Part 1

ISO 17799:2000ISO 17799:2000

Zukünftig:Zukünftig:

ISO/IEC 2700x-FamilieISO/IEC 2700x-Familie

Best Practice für Informations-SicherheitBest Practice für Informations-Sicherheit

Herausgegeben von der ISOHerausgegeben von der ISO

Zeitweise im Konflikt mit BSI - GrundschutzhandbuchZeitweise im Konflikt mit BSI - Grundschutzhandbuch

Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)



Mai 2006

Kritische Erfolgsfaktoren für die UmsetzungKritische Erfolgsfaktoren für die Umsetzung

Abgleich mit UnternehmenszielenAbgleich mit UnternehmenszielenBerücksichtigung der OrganisationskulturBerücksichtigung der OrganisationskulturUnterstützung und Engagement des Top-ManagementsUnterstützung und Engagement des Top-ManagementsGenaue Kenntnis der Sicherheitserfordernisse, Risikobewertung Genaue Kenntnis der Sicherheitserfordernisse, Risikobewertung und Risiko-Managementund Risiko-ManagementWirksames Marketing von SicherheitszielenWirksames Marketing von SicherheitszielenKommunikation der Security Policy und Security Einrichtungen Kommunikation der Security Policy und Security Einrichtungen an Drittparteienan DrittparteienAusreichende Ressourcen stehen zur VerfügungAusreichende Ressourcen stehen zur VerfügungUser sind geschultUser sind geschultEin umfassender Security Incident Management Prozess ist Ein umfassender Security Incident Management Prozess ist vorhandenvorhandenEin System zum Performance Measurement ist verfügbar, das Ein System zum Performance Measurement ist verfügbar, das laufende Verbesserung ermöglicht und Feedback gibtlaufende Verbesserung ermöglicht und Feedback gibt

99

Integration von StandardsIntegration von Standards

100Integrating Application Mgmt. & Service Mgmt.

COBIT

IT OPERATIONS

IT Governance

Quality Systems & Frameworks

Service M

gm

t.

Ap

p. D

ev. (SD

LC

)

Pro

ject Mg

mt.

IT P

lann

ing

IT S

ecurity

Qu

ality System

IT Governance Model

COSO

ITIL

BS7799

PMI

ISO

SixSigma

TSOIS

Strategy

ASL

CMM

Sarbanes Oxley

US Securities & Exchange Commission



Mai 2006

Forrester Quotes (Jan 5 2006)Forrester Quotes (Jan 5 2006)

Establish frameworks to ease Governance Establish frameworks to ease Governance ImplementationImplementation

First CobiT for overall governanceFirst CobiT for overall governance

Then ITIL for service delivery and managementThen ITIL for service delivery and management

Then ISO 17799 for information securityThen ISO 17799 for information security

Balanced Scorecard for measurement and Balanced Scorecard for measurement and communicationcommunication

Source: Forrester Helping Business Thrive On Technology ChangeA Road Map To Comprehensive IT Governance by Craig Symons



Mai 2006

Potential CobiT & ITILPotential CobiT & ITIL

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT Governance

Domains

CobiT

ITIL

both

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT Governance

Domains



Mai 2006

Potential CobiT & ITILPotential CobiT & ITIL

Stakeholder Stakeholder

C F O

O P s A D S D

C IO C M O C xO

C E O CobiT

ITIL



Mai 2006

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d Im

plem

ent

Deliver and Support

Mon

itor

an

d E

valu

ate

COBIT 4.0 processes addressed by

IT Infrastructure Library

A

cqu

ire and

Main

tain

Mo

nit

or

and

Eva

luat

e

Deliver and Support

Plan and Organize

1 2 3 4 5 6 7 8 9 10 11 12 13

12

34

12

34

56

1 2 3 4 5 6 7 8 9 10 11

CobiT and ITIL by Jimmy Heschl

1 11 Good coverage Partly addressed No or weak coverage on Process-Level

Coverage of CobiT Processes by ITIL Processes

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Del

iver

y

Ser

vice

Del

iver

y

Ser

vice

Del

iver

y

Ser

vice

Del

iver

y

Ser

vice

Del

iver

y

Ser

vice

Des

k

Inci

dent

M

anag

emen

t

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

M

anag

emen

t

Con

figur

atio

n M

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

M

anag

emen

t

Fin

anci

al

Man

agem

ent

Con

tinui

ty

Man

agem

ent

CobiT & ITIL CobiT & ITIL



Mai 2006

CobiT & ISO/IEC 17799:2005 CobiT & ISO/IEC 17799:2005

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d Im

plem

ent

Deliver and Support

Mon

itor

an

d E

valu

ate


ISO/IEC 17799:2005



Mai 2006

CobiT & BSI Grundschutzhandbuch CobiT & BSI Grundschutzhandbuch

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d Im

plem

ent

Deliver and Support

Mon

itor

an

d E

valu

ate


IT Baseline Protection Manual



Mai 2006

CobiT & viele andere … CobiT & viele andere …

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate

CobiT 4.0 processes addressed by

COSO Internal Control -

Integrated Framework

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


FIPS PUB 200

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


ISO/IEC TR 13335

by Jimmy Heschl

21

43

65

721 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


ISO/IEC 15408:2005

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


PRINCE2

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


PMBOK©

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


TickIT

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


CMMI

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 132

14

3

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


NIST 800-14



Mai 2006

Vergleich von StandardsVergleich von Standards

vert

ical

horizontal

flat

dee

p

narrow broad

15408

TickIT NIST

ITIL

COSO

COBIT

FIPS

13335

17799

CMMIIT-BPM

PMBOKPRINCE2



Mai 2006

AusblickAusblick

Die Zeit ist reifDie Zeit ist reif

Für nachvollziehbare und messbare IT ProzesseFür nachvollziehbare und messbare IT Prozesse

Einhaltung internationaler StandardsEinhaltung internationaler Standards

Interne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT

Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) Aufwand

Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch)

Professionelle Unterstützung empfehlenswert – Professionelle Unterstützung empfehlenswert – besonders auch mit Prüfungs- und Kontroll – Know besonders auch mit Prüfungs- und Kontroll – Know HowHow



Mai 2006

Nutzen durch IT Governance und Compliance mit CobiT et.al.Nutzen durch IT Governance und Compliance mit CobiT et.al.

ComplianceComplianceAufbau eines angemessenen Internen Kontrollsystems Aufbau eines angemessenen Internen Kontrollsystems

§ 82 AktG§ 82 AktGösterr. und internationale Fachgutachten und Gesetze (Compliance)österr. und internationale Fachgutachten und Gesetze (Compliance)auch nach neuen strengeren US-Regelungen (Sarbanes-Oxley)auch nach neuen strengeren US-Regelungen (Sarbanes-Oxley)sowie für etwaige künftige EU-Regelungen (vgl. 8. EU Audit Richtlinie)sowie für etwaige künftige EU-Regelungen (vgl. 8. EU Audit Richtlinie)

Absicherung der GeschäftsführerAbsicherung der GeschäftsführerMöglichkeit, die Compliance mit Gesetzen und Standards zu überprüfenMöglichkeit, die Compliance mit Gesetzen und Standards zu überprüfenTransparenter Überblick über Aktivitäten und Risiken der ITTransparenter Überblick über Aktivitäten und Risiken der ITRevisionssichere Gestaltung der Prozesse und Kontrollen Revisionssichere Gestaltung der Prozesse und Kontrollen

Effektivität (Wirksamkeit)Effektivität (Wirksamkeit)Laufende Ausrichtung der IT und Prozesse an den UnternehmensstrategienLaufende Ausrichtung der IT und Prozesse an den UnternehmensstrategienMöglichkeit zur zeitgemäßen Steuerung und Messung der ITMöglichkeit zur zeitgemäßen Steuerung und Messung der ITPlanung und Steuerung der Prozess-Reifegrade (Maturity Model)Planung und Steuerung der Prozess-Reifegrade (Maturity Model)Steigerung von Qualität und Sicherheit in der ITSteigerung von Qualität und Sicherheit in der ITVerbessertes Prozess- und Kontrollbewusstsein Verbessertes Prozess- und Kontrollbewusstsein

Effizienz (Wirtschaftlich)Effizienz (Wirtschaftlich)Effizienzsteigerung in der ITEffizienzsteigerung in der ITErhöhter Stakeholder Value (realer und empfundener Wert)Erhöhter Stakeholder Value (realer und empfundener Wert)Nachweisbarer Nutzen der ITNachweisbarer Nutzen der IT



Mai 2006© 2005 KPMG Alpen-Treuhand Austria Gruppe, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts.

Informationen dieser Präsentation haben informativen Charakter und stellen keinerlei Beratungsleistung dar. Alle Rechte vorbehalten. Printed in Austria. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

KontakteKontakte

Dr. Michael SchirmbrandDr. Michael Schirmbrand

Information Risk ManagementInformation Risk Management

KPMG WienKPMG Wien

+43 (1) 361332 - 656+43 (1) 361332 - 656

[email protected]@kpmg.at

www.kpmg.atwww.kpmg.at

Jimmy HeschlJimmy Heschl

Information Risk ManagementInformation Risk Management

KPMG WienKPMG Wien

+43 (1) 361332 - 618+43 (1) 361332 - 618

[email protected]@kpmg.at

www.kpmg.atwww.kpmg.at

Documents

Dr Michael Schirmbrand Mai 2006 BUSINESS ADVISORY SERVICE INFORMATION RISK MANAGEMENT Standards für IT - Audit und IT - Governance