Upload
renate-weisbrod
View
103
Download
0
Embed Size (px)
Citation preview
Dr Michael Schirmbrand Mai 2006
Dr Michael Schirmbrand Mai 2006
BUSINESS ADVISORY SERVICE
INFORMATION RISK MANAGEMENT
Standards für IT - Audit und
IT - Governance
2Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
AgendaAgenda
Aktuelle EntwicklungenAktuelle Entwicklungen
IT GovernanceIT Governance
(Neue) Internationale und Nationale Compliance-(Neue) Internationale und Nationale Compliance-Anforderungen (inkl Sarbanes-Oxley)Anforderungen (inkl Sarbanes-Oxley)
Standards für IT Prozesse und ComplianceStandards für IT Prozesse und ComplianceITILITILCobiTCobiTWeitere relevante StandardsWeitere relevante StandardsIntegration von CobiT mit ITIL, ISO 17799, CMMI, etc Integration von CobiT mit ITIL, ISO 17799, CMMI, etc
AusblickAusblick
3
IT GovernanceAktuelle Entwicklungen
IT GovernanceAktuelle Entwicklungen
4Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Beobachtungen in ÖsterreichBeobachtungen in Österreich
Mehr als 50% der Unternehmen haben keine IT Mehr als 50% der Unternehmen haben keine IT StrategieStrategie80% der Großunternehmen haben kein 80% der Großunternehmen haben kein nachvollziehbares IT Steuerungsgremiumnachvollziehbares IT SteuerungsgremiumBei einem Großteil der Unternehmen sind die IT Ziele Bei einem Großteil der Unternehmen sind die IT Ziele nicht erkennbar an den Unternehmenszielen nicht erkennbar an den Unternehmenszielen ausgerichtetausgerichtetDer Nutzen von (IT) Projekten wird meist nicht Der Nutzen von (IT) Projekten wird meist nicht gemessengemessenBei mehr als 50% der Unternehmen sind IT Prozesse Bei mehr als 50% der Unternehmen sind IT Prozesse nicht dokumentiert oder messbarnicht dokumentiert oder messbarBei mehr als 90% der Unternehmen sind Kontrollen in Bei mehr als 90% der Unternehmen sind Kontrollen in IT Prozessen nicht dokumentiert oder nachvollziehbarIT Prozessen nicht dokumentiert oder nachvollziehbar
5Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
20 % der IT Budgets gehen weltweit verloren
Aktuelle Schlagzeilen
6Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
• 85% der Untenehmen verlangen 85% der Untenehmen verlangen Busines-Cases für ChangesBusines-Cases für Changes
• Nur 40% der freigegebenen Nur 40% der freigegebenen Projekte basieren auf Projekte basieren auf realistischen Nutzen-Statementsrealistischen Nutzen-Statements
• Weniger als 10% der Unter-Weniger als 10% der Unter-nehmen stellen nachträglich nehmen stellen nachträglich sicher, dass Nutzen tatsächlich sicher, dass Nutzen tatsächlich generiert wurdegeneriert wurde
• Weniger als 5% definieren Weniger als 5% definieren persönliche Verantwortung für persönliche Verantwortung für die Nutzenstiftungdie Nutzenstiftung
NutzenNutzen RisikenRisikenKostenKosten
(Meta Group Juli 2004)(Meta Group Juli 2004)
IT Governance:Wesentlich ist die Generierung von Nutzen durch die IT
7Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IT Governance: Eine DefinitionIT Governance: Eine Definition
CorporateGovernance
ITGovernance
BusinessInformations-systeme Für IT Governance sind Vorstand und
Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate-Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt
— IT Governance Institute
8Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
KPMG IT Governance Survey 2004 – Eingesetzte Verfahren zur IT GovernanceKPMG IT Governance Survey 2004 – Eingesetzte Verfahren zur IT Governance
14.4%
15.4%
17.4%
33.0%
43.8%
45.6%
55.1%
56.7%
76.6%
0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% 80.0% 90.0%
ISO17799
COBIT
IT Infrastructure Library
Externe Benchmarks
Benutzerzufriedenheit
Regelmäßig erstellte Berichte an das Top-Management
IT Steering Committee
Internes Audit
Projektcontrolling und -management
9Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IT Governance - StatusIT Governance - Status
Ergebnisse des IT Governance Survey zeigen, dass IT Ergebnisse des IT Governance Survey zeigen, dass IT Governance eingesetzt wird, um …Governance eingesetzt wird, um …
Compliance mit Gesetzen herzustellen (71%)Compliance mit Gesetzen herzustellen (71%)
Kosten des Betriebs zu senken (67%)Kosten des Betriebs zu senken (67%)
Steuerung zu verbessern (61%)Steuerung zu verbessern (61%)
Strategische Wettbewerbsvorteile zu erzielen (41%)Strategische Wettbewerbsvorteile zu erzielen (41%)
83% sind der Überzeugung, dass die derzeitige IT 83% sind der Überzeugung, dass die derzeitige IT Governance verbessert werden soll.Governance verbessert werden soll.
10Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IT Governance - StatusIT Governance - Status
Die Umfrage hat gezeigt, dass Unternehmen IT Governance Die Umfrage hat gezeigt, dass Unternehmen IT Governance umsetzen, um …umsetzen, um …
Sarbanes-Oxley (oder ähnliche) Anforderungen umzusetzenSarbanes-Oxley (oder ähnliche) Anforderungen umzusetzen
Unwirksame und unreife IT Governance zu verbessernUnwirksame und unreife IT Governance zu verbessern
Die Verbindung von IT Ressourcen und Unternehmenszielen zu Die Verbindung von IT Ressourcen und Unternehmenszielen zu verbessernverbessern
Den Bedarf zu decken, den Nutzen von IT Investitionen Den Bedarf zu decken, den Nutzen von IT Investitionen darzustellendarzustellen
Veränderungen im Kerngeschäft oder der Technologie zu Veränderungen im Kerngeschäft oder der Technologie zu bewältigenbewältigen
Die Unzufriedenheit mit der IT und den von ihr erbrachten Services Die Unzufriedenheit mit der IT und den von ihr erbrachten Services zu verringernzu verringern
11Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ISACA Market Research 2004 – Probleme der letzten 12 MonateISACA Market Research 2004 – Probleme der letzten 12 Monate
41%
40%
38%
38%
35%
35%
34%
28%
27%
24%
5%
7%
Keine Übersicht über die Qualitätder Leistungen der IT
Operative Fehler der IT
Probleme mit IT Personal
Anzahl von Problems und Incidents
Hohe IT Kosten und geringer Nutzen
Kenntnis wichtiger IT Systeme
Verwaltbarkeit von Daten
Keine Verbindung zwischen Unternehmens- und IT Strategie
Hohe Abhängigkeit von nicht verwaltbaren Organisationen
Anzahl von Fehlern in wichtigen Systemen
Keine
Andere
12Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ISACA Market Research 2004 – Aufwand zur ProblemlösungISACA Market Research 2004 – Aufwand zur Problemlösung
Keine Übersicht über die Qualitätder Leistungen der IT
Operative Fehler der IT
Probleme mit IT Personal
Anzahl von Problems und Incidents
Hohe IT Kosten und geringer Nutzen
Kenntnis wichtiger IT Systeme
Verwaltbarkeit von Daten
Keine Verbindung zwischen Unternehmens- und IT Strategie
Hohe Abhängigkeit von nicht verwaltbaren Organisationen
Anzahl von Fehlern in wichtigen Systemen
13Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ISACA Market Research 2004 – Ist IT lösungsorientiert?ISACA Market Research 2004 – Ist IT lösungsorientiert?
Keine Übersicht über die Qualitätder Leistungen der IT
Operative Fehler der IT
Probleme mit IT Personal
Anzahl von Problems und Incidents
Hohe IT Kosten und geringer Nutzen
Kenntnis wichtiger IT Systeme
Verwaltbarkeit von Daten
Keine Verbindung zwischen Unternehmens- und IT Strategie
Hohe Abhängigkeit von nicht verwaltbaren Organisationen
Anzahl von Fehlern in wichtigen Systemen
Problem Lösungsaufwand
14Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Strategic AlignmentStrategic Alignment Value DeliveryValue Delivery IT Asset ManagementIT Asset Management Risk ManagementRisk Management Performance Performance
MeasurementMeasurement
GartnerGartner CSCCSC CompassCompass GigaGiga AICPA/CICAAICPA/CICA CIO MagazineCIO Magazine Technology Technology
CouncilCouncil
Prioritäten der AnalystenPrioritäten der Analysten
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT Governance
15Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IT Governance DomänenIT Governance Domänen
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT Governance
16Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Stabiler Wert und Vertrauen
IT GovernanceBalance zwischen Risiko und PerformanceIT GovernanceBalance zwischen Risiko und Performance
ProzessVerbesserung
VerbesserteKontrolle
IntegriertesRisiko Management
ProzessTransformation
Performance
Ris
iko
Compliance
Die Rechtssprechung Die Rechtssprechung zieht das Pendel in zieht das Pendel in Richtung RisikoRichtung Risiko
Wettbewerb und Wettbewerb und Marktdruck drücken Marktdruck drücken das Pendel Richtung das Pendel Richtung PerformancePerformance
IT Governance managt IT Governance managt die Balance zwischen die Balance zwischen Risikomanagement Risikomanagement und Performance-und Performance-erfordernis.erfordernis.
17Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Wesentliche Standards für IT GovernanceWesentliche Standards für IT Governance
forderndfordernd
Fachgutachten (IFAC, AICPA, KWT)Fachgutachten (IFAC, AICPA, KWT)
SAS 70SAS 70
Sarbanes Oxley ActSarbanes Oxley Act
Sonstige relevante GesetzeSonstige relevante Gesetze
helfendhelfend
CobiTCobiT
ITILITIL
ISO 17799ISO 17799
CMMICMMI
18
FachgutachtenFachgutachten
19Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Herausgebende OrganisationenHerausgebende Organisationen
IFAC – International Federation of AccountantsIFAC – International Federation of AccountantsISA (ISA (ISA 402 - Audit Considerations relating to Entities using ISA 402 - Audit Considerations relating to Entities using Service Organizations)Service Organizations)
AICPA – American Institute of CPAsAICPA – American Institute of CPAsSAS (zB SAS/70 - Reports on the Processing of Transactions by SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations)Service Organizations)
PCAOB – Public Company Accounting Oversight BoardPCAOB – Public Company Accounting Oversight BoardAuditing StandardsAuditing Standards
KFS – Kammer der WT - Fachsenat für DatenverarbeitungKFS – Kammer der WT - Fachsenat für DatenverarbeitungKFS/DV1KFS/DV1KFS/DV2KFS/DV2
IDW – Institut der WirtschaftsprüferIDW – Institut der WirtschaftsprüferPS331 (Serviceorganisationen)PS331 (Serviceorganisationen)FAIT (Fachgutachten für die Prüfung von Informationstechnologie)FAIT (Fachgutachten für die Prüfung von Informationstechnologie)
20Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ISAs (IFAC)ISAs (IFAC)
Standards der International Federation of AccountantsStandards der International Federation of AccountantsFür (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln Für (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln dagegen sprechendagegen sprechen
Vom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordertVom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordert
De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“
Auszug aus den ISAsAuszug aus den ISAsISA 200 - Objective and General Principles Governing an Audit of Financial ISA 200 - Objective and General Principles Governing an Audit of Financial
StatementsStatements
ISA 315 - Understanding the Entity and its Environment and Assessing Risks ISA 315 - Understanding the Entity and its Environment and Assessing Risks of Material Misstatementof Material Misstatement
ISA 330 - The Auditors Procedures in Response to Assessed RisksISA 330 - The Auditors Procedures in Response to Assessed Risks
ISA 402 - Audit Considerations relating to Entities using Service ISA 402 - Audit Considerations relating to Entities using Service OrganizationsOrganizations
ISA 500 - Audit EvidenceISA 500 - Audit Evidence
21Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Fachgutachten ÖsterreichFachgutachten Österreich
KFS/DV1 der Kammer der WTKFS/DV1 der Kammer der WT
Allgemeine Anforderungen (Belegfunktion, Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...)Journalfunktion, Kontenfunktion,...)
Forderung nach FunktionstrennungForderung nach Funktionstrennung
Detaillierte Forderungen an die Detaillierte Forderungen an die SystemdokumentationSystemdokumentation
KFS/DV 2 KFS/DV 2
Richtlinien zur Prüfung der IT im Rahmen von Richtlinien zur Prüfung der IT im Rahmen von JahresabschlussprüfungenJahresabschlussprüfungen
22Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
KFS/DV 1 - OrdnungsmäßigkeitKFS/DV 1 - Ordnungsmäßigkeit
Gliederung des FachgutachtensGliederung des FachgutachtensGrundsätzeGrundsätzeDie Prüfbarkeit als OrdnungsmäßigkeitskriteriumDie Prüfbarkeit als OrdnungsmäßigkeitskriteriumDie Nachvollziehbarkeit des einzelnen GeschäftsvorfallesDie Nachvollziehbarkeit des einzelnen GeschäftsvorfallesBelegfunktionBelegfunktionJournalfunktionJournalfunktionKontenfunktionKontenfunktionVerfahrensdokumentationVerfahrensdokumentationDas Interne KontrollsystemDas Interne KontrollsystemSystemeinführung und WeiterentwicklungSystemeinführung und WeiterentwicklungAufbauorganisationAufbauorganisationAblauforganisationAblauforganisationDokumentationDokumentation
23Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
KFS/DV 1 - GrundsätzeKFS/DV 1 - Grundsätze
Allgemeine AnforderungenAllgemeine Anforderungen
Kaufmann buchführungspflichtig und für Kaufmann buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren)Fremd-SW und Online-Verfahren)
RadierverbotRadierverbot
Prüfspur progressiv und retrogradPrüfspur progressiv und retrograd
Verbot nachträglicher SchreibvorgängeVerbot nachträglicher Schreibvorgänge
24Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
KFS/DV 1 - PrüfbarkeitKFS/DV 1 - Prüfbarkeit
VerfahrensdokumentationVerfahrensdokumentationFür Programmentwicklungen, Change Management, Zukäufe von SW Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein:(inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein:
Anforderung/AufgabenstellungAnforderung/AufgabenstellungDatensatzaufbauDatensatzaufbauVerarbeitungsregeln (inkl. Steuerungsparameter, Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlungund FehlerbehandlungDatenausgabeDatenausgabeDatensicherungDatensicherungVerfügbare ProgrammeVerfügbare ProgrammeArt, Inhalt und Umfang der durchgeführten TestsArt, Inhalt und Umfang der durchgeführten Tests Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)VersionsmanagementVersionsmanagement
Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,……Eventuell können Teile davon auch von externen Dritten zur Verfügung Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdengestellt werden
25Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
KFS/DV 1 - IKSKFS/DV 1 - IKS
Zusätzlich notwendigZusätzlich notwendig
Funktionstrennung Funktionstrennung (Fachabteilung/Entwickler/Admin)(Fachabteilung/Entwickler/Admin)
Zugriffsberechtigungen auf allen SystemebenenZugriffsberechtigungen auf allen Systemebenen
DatensicherungenDatensicherungen
Schutz vor Sabotage, Missbrauch und VernichtungSchutz vor Sabotage, Missbrauch und Vernichtung
KontinuitätsmanagementKontinuitätsmanagement
Aufbewahrung sämtlicher Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreDokumentationsbestandteile für 7 Jahre
26Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IDW RS FAIT 2 - DokumentationIDW RS FAIT 2 - Dokumentation
Deutsches Fachgutachten – in einigen Bereichen zur Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1Klarstellung detaillierter als KFS/DV 1
Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:
Doku HW/SW (zB Router, Firewall, Virenscanner,..)Doku HW/SW (zB Router, Firewall, Virenscanner,..)
Netzwerkarchitektur (auch Anbindung ISP)Netzwerkarchitektur (auch Anbindung ISP)
Verwendete ProtokolleVerwendete Protokolle
VerschlüsselungsverfahrenVerschlüsselungsverfahren
SignaturverfahrenSignaturverfahren
Datenflusspläne, Schnittstellen, relevante KontrollenDatenflusspläne, Schnittstellen, relevante Kontrollen
Autorisierungsverfahren, Verfahren zur Generierung von Autorisierungsverfahren, Verfahren zur Generierung von BuchungenBuchungen
27Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IDW RS FAIT 2 - IKSIDW RS FAIT 2 - IKS
Für IKS zusätzlich notwendigFür IKS zusätzlich notwendig
Firewall Einstellungen (+Überprüfungen)Firewall Einstellungen (+Überprüfungen)
Firewall-Logs (+Überprüfungen)Firewall-Logs (+Überprüfungen)
Change Management für die gesamte Infrastruktur Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,)(Firewalls, Router, Switches,..,)
Scanner (IDS, Viren, Kontrollen,..)Scanner (IDS, Viren, Kontrollen,..)
Penetration TestsPenetration Tests
Überprüfung dieser Themen durch die RevisionÜberprüfung dieser Themen durch die Revision
Dient nur als Beispiel; in Deutschland alles für 10 Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahrenJahre aufzubewahren
28Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Überblick Fachgutachten KFS/DV 2Überblick Fachgutachten KFS/DV 2
Fachgutachten „Die Prüfung der IT im Rahmen von Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“Abschlussprüfungen“
Erarbeitet durch FS DVErarbeitet durch FS DV
Gemeinsame Überarbeitung durch FS DV und FS Gemeinsame Überarbeitung durch FS DV und FS HRHR
Verabschiedet im November 2004Verabschiedet im November 2004
29Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Struktur KFS/DV 2Struktur KFS/DV 2
A.A. VorbemerkungenVorbemerkungenA.1.A.1. Anwendungsbereich des FachgutachtensAnwendungsbereich des FachgutachtensA.2.A.2. Einbindung in die AbschlussprüfungEinbindung in die AbschlussprüfungB.B. Ziel und Umfang der Prüfung der InformationstechnikZiel und Umfang der Prüfung der InformationstechnikC.C. Tätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikTätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikC.1.C.1.Berücksichtigung der Prüfung der Informationstechnik bei der PrüfungsplanungBerücksichtigung der Prüfung der Informationstechnik bei der PrüfungsplanungC.2.C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften UnternehmensGewinnung eines Überblicks über die Informationstechnik des geprüften UnternehmensC.3.C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden RisikenFeststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden RisikenC.4.C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der
RisikenRisikenAnwendungsunabhängige Kontrollen der Informationstechnik-ProzesseAnwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der GeschäftsprozesseAnwendungsabhängige Kontrollen der Geschäftsprozesse
C.5.C.5.Prüfungshandlungen des AbschlussprüfersPrüfungshandlungen des AbschlussprüfersPrüfung der anwendungsunabhängigen KontrollenPrüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen KontrollenPrüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger BuchführungPrüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung
C.6.C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenDokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenD.D. Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes
Unternehmen (IT‑Outsourcing)Unternehmen (IT‑Outsourcing)
30Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
KFS/DV 2 - GrundsätzeKFS/DV 2 - Grundsätze
Prüfung der IT ist der der Prüfung des Internen Prüfung der IT ist der der Prüfung des Internen KontrollsystemsKontrollsystems
Geprüft werden die Geprüft werden die IT Qualitätsmerkmale der IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Integrität, Konformität und Wartbarkeit (nicht Effizienz)Effizienz)
Risikoorientierte PrüfungRisikoorientierte Prüfung
Prüfung von StichprobenPrüfung von Stichproben
Abhängig von Größe und Komplexität des Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten SystemeUnternehmens und der eingesetzten Systeme
31Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
KFS/DV 2 – Grobüberblick über IT PrüfungenKFS/DV 2 – Grobüberblick über IT Prüfungen
Gewinnung eines Überblicks über Systeme und Gewinnung eines Überblicks über Systeme und AbläufeAbläufe
Prüfung der IT Prozesse (anwendungsPrüfung der IT Prozesse (anwendungsununabhängige abhängige IT Kontrollen), orientiert zB an CobITIT Kontrollen), orientiert zB an CobIT
Prüfung der Anwendungen (anwendungsabhängige Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)IT Kontrollen)
32Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,...IFAC Guideline on Monitoring, SysTrust,...
Prüfung des IT Überwachungssystems (IT Umfeld, Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT InfrastrukturIT Organisation, IT Infrastruktur
IT Governance, IT Controlling, Kontrolle der IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der KontrollenNachvollziehbarkeit der Kontrollen
KFS/DV 2 – Prüfung anwendungsunabhängig (2)
33Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
KFS/DV 2 – Prüfung anwendungsabhängigKFS/DV 2 – Prüfung anwendungsabhängig
Einholung von Informationen über die relevanten AnwendungenEinholung von Informationen über die relevanten Anwendungen
Prüfung und Beurteilung der Programmfunktionen: insbesondere Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der PrüfungHauptbuch Bestandteil der Prüfung
Prüfung der Anwendungskontrollen: hierzu gehören das interne Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.
34Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
KFS/DV 2 - OutsourcingKFS/DV 2 - Outsourcing
Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kann kriterien genügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmen insbesondere aus Prüfung von Dienstleistungsunternehmen
oder Serviceunternehmen nach dem oder Serviceunternehmen nach dem Standard ISA 402Standard ISA 402 der IFAC herangezogen werden.der IFAC herangezogen werden.
35
SAS 70SAS 70
36Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)
Standard für die Prüfung von Outsourcing-Dienstleistern Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld)(und deren Kontrollumfeld)
Veröffentlichung der AICPAVeröffentlichung der AICPAGilt grundsätzlich für USA, aber auch bei Bilanzierung Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAPnach US GAAPMittlerweile weltweiter De-Facto Standard für Prüfungen Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-von und für Wirtschaftsprüfern bei (IT ) Service-OrganisationenOrganisationenPraktisch inhaltsgleich zu ISA 402 der IFACPraktisch inhaltsgleich zu ISA 402 der IFACIn Deutschland auch Standard PS 331In Deutschland auch Standard PS 331Achtung: Sarbanes Oxley – vom PCAOB vorgeschriebenAchtung: Sarbanes Oxley – vom PCAOB vorgeschriebenAuch in Österreich bei (fast) allen RZ in UmsetzungAuch in Österreich bei (fast) allen RZ in Umsetzung
37Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an Prüfer
Anzuwenden bei (Teil-) Outsourcing der ITAnzuwenden bei (Teil-) Outsourcing der IT
Prüfer von RZ-Kunden müssenPrüfer von RZ-Kunden müssen
Report nach SAS 70 / ISA 402 des RZ einholen oderReport nach SAS 70 / ISA 402 des RZ einholen oder
selbst das RZ prüfen oderselbst das RZ prüfen oder
jemanden beauftragen, das RZ nach SAS 70 zu jemanden beauftragen, das RZ nach SAS 70 zu prüfen oderprüfen oder
Bestätigungsvermerk einschränken oder versagenBestätigungsvermerk einschränken oder versagen
38Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
SAS 70 – Die Reports (1)SAS 70 – Die Reports (1)
Typ I: Typ I: ”Report on controls placed in operation””Report on controls placed in operation”Die im Service-Unternehmen vorgesehenen internen Die im Service-Unternehmen vorgesehenen internen Kontrollen, die für einen Kunden relevant sind, werden Kontrollen, die für einen Kunden relevant sind, werden auf Ihre Angemessenheit hin überprüft. Der Report auf Ihre Angemessenheit hin überprüft. Der Report beinhaltet folgende Informationen:beinhaltet folgende Informationen:
den Fluss der Transaktionen des Kunden innerhalb den Fluss der Transaktionen des Kunden innerhalb des Service-Unternehmensdes Service-UnternehmensKontrollen der relevanten Applikationen im Service-Kontrollen der relevanten Applikationen im Service-UnternehmenUnternehmenob diese Kontrollen angemessen sind und ob diese Kontrollen angemessen sind und angewendet werdenangewendet werden
Der Report Typ I umfasst nicht den Test der Der Report Typ I umfasst nicht den Test der eingesetzten Kontrollmaßnahmeneingesetzten Kontrollmaßnahmen..
39Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Typ II: „Typ II: „Reports on controls placed in operation and Reports on controls placed in operation and tests of operating effectiveness”tests of operating effectiveness”Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser die Effektivität der Kontrollen beurteilt und sich die Effektivität der Kontrollen beurteilt und sich Wirtschaftprüfer in Teilbereichen darauf verlassen können Wirtschaftprüfer in Teilbereichen darauf verlassen können und so bei funktionierenden Kontrollen im und so bei funktionierenden Kontrollen im Rechenzentrum bei Prüfungen von Kunden mit einer Rechenzentrum bei Prüfungen von Kunden mit einer reduzierten Risikoeinschätzung vorgehen können.reduzierten Risikoeinschätzung vorgehen können.
Voraussetzung: Die Kontrollen in Prozessen müssen Voraussetzung: Die Kontrollen in Prozessen müssen definiert und wirksam sein.definiert und wirksam sein.
SAS 70 – Die Reports (2)SAS 70 – Die Reports (2)
40Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
SAS 70 - BerichterstattungSAS 70 - Berichterstattung
Standard-Text für Bestätigungsvermerk definiertStandard-Text für Bestätigungsvermerk definiert
Bei Typ II Report sind die vorhandenen Kontrollen, Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellenDetail dazustellen
Die Verantwortungen von Kunde und RZ sind klar Die Verantwortungen von Kunde und RZ sind klar abzugrenzenabzugrenzen
Bei wesentlichen Mängeln ist der Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagenoder zu versagen
41Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Würdigung von SAS 70 Reports Typ IIWürdigung von SAS 70 Reports Typ II
Kritisch zu würdigen und eventuell abstützenKritisch zu würdigen und eventuell abstützen
Bei Zweifeln:Bei Zweifeln:
Gespräche mit dem Prüfer des RZGespräche mit dem Prüfer des RZ
Anforderung von Zusatzprüfungen durch den Prüfer Anforderung von Zusatzprüfungen durch den Prüfer des RZdes RZ
Eventuell selbst Zusatzprüfungshandlungen (nicht Eventuell selbst Zusatzprüfungshandlungen (nicht nach ISA 402)nach ISA 402)
Verweis auf SAS 70 Report unzulässigVerweis auf SAS 70 Report unzulässig
42Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei RechenzentrumskundenISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei Rechenzentrumskunden
Bei Vorliegen von SAS 70/ISA 402 – Reports:Bei Vorliegen von SAS 70/ISA 402 – Reports:
Klares Aufzeigen der Serviceverantwortungen von Klares Aufzeigen der Serviceverantwortungen von Kunde und RechenzentrumKunde und Rechenzentrum
Die IT Prozesse und -Systeme, die in der Die IT Prozesse und -Systeme, die in der Verantwortung des Kunden liegen, sind auch von Verantwortung des Kunden liegen, sind auch von dessen Wirtschaftsprüfer zu prüfendessen Wirtschaftsprüfer zu prüfen
43
Sarbanes OxleySarbanes Oxley
44Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Sarbanes-Oxley (SOX) Paragraph 404Sarbanes-Oxley (SOX) Paragraph 404
Section 404 des Sarbanes-Oxley Act fordert: Section 404 des Sarbanes-Oxley Act fordert: Unternehmensleitung beurteilt das Interne Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüberFinanzreporting (ICOFR) und berichtet darüberDer externe, unabhängige Prüfer gibt ein Testat Der externe, unabhängige Prüfer gibt ein Testat über den Management-Testüber den Management-Test
Prüfer berichtet direkt über die Wirksamkeit des Prüfer berichtet direkt über die Wirksamkeit des IKSIKSSeit 2004 für US-Unternehmen, die SEC gelistet Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlichsind, erforderlichAndere Unternehmen (foreign issuers) ab 2006Andere Unternehmen (foreign issuers) ab 2006
45Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
PCAOB, Auditing Standard No. 2PCAOB, Auditing Standard No. 2
Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Oversight Board)Oversight Board)
Anforderungen für die SOX-Prüfungen und Anleitung zur Anforderungen für die SOX-Prüfungen und Anleitung zur DurchführungDurchführung
Management TestsManagement Tests
JahresabschlussprüfungJahresabschlussprüfung
Grundsätzlich am Internal Control framework COSO ausgerichtetGrundsätzlich am Internal Control framework COSO ausgerichtet
Umfeld (control environment)Umfeld (control environment)
Risikobewertung (risk assessment)Risikobewertung (risk assessment)
Kontrollen (control activities)Kontrollen (control activities)
Information und Kommunikation (information and communication)Information und Kommunikation (information and communication)
Überwachung (monitoring)Überwachung (monitoring)
46Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Exkurs: Begriff “Control”Exkurs: Begriff “Control”
Übersetzungen Übersetzungen regeln, beherrschen, führen, leiten, lenken, kontrollieren, regeln, beherrschen, führen, leiten, lenken, kontrollieren, überprüfen, überwachen, …überprüfen, überwachen, …
Kontrollziel (control objective)Kontrollziel (control objective)Statement über einen gewünschten Zustand.Statement über einen gewünschten Zustand.
Kontrolle (control practice)Kontrolle (control practice)beliebige Aktivität oder Einrichtung, die dazu geeignet ist, das beliebige Aktivität oder Einrichtung, die dazu geeignet ist, das Control Objective zu erreichen (kann zB eine physische Control Objective zu erreichen (kann zB eine physische Einrichtung zum Brandschutz, eine Firewall oder anderes sein)Einrichtung zum Brandschutz, eine Firewall oder anderes sein)
Kontrollaktivität (control activity)Kontrollaktivität (control activity)tatsächlich kontrollierende Aktivität (zB Freigabe, Review, …), die tatsächlich kontrollierende Aktivität (zB Freigabe, Review, …), die nachvollziehbar (dokumentiert) sein muss (zB Freigabe des nachvollziehbar (dokumentiert) sein muss (zB Freigabe des Ergebnisses einer Firewall-Prüfung, Review eines Changes, …)Ergebnisses einer Firewall-Prüfung, Review eines Changes, …)
47Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Was ist ICOFR? Was ist ICOFR?
ICOFR (Internal Control Over Financial Reporting) = Ein Prozess, …ICOFR (Internal Control Over Financial Reporting) = Ein Prozess, ………der von der Unternehmensleitung und Führungsgremien (oder in derem der von der Unternehmensleitung und Führungsgremien (oder in derem Auftrag) festgelegt ist,Auftrag) festgelegt ist,… … der vom Vorstand, Management und anderen Gremien in Kraft gesetzt der vom Vorstand, Management und anderen Gremien in Kraft gesetzt wurdewurde… … mit ziemlicher Sicherheit die Verlässlichkeit des Finanzreportings und mit ziemlicher Sicherheit die Verlässlichkeit des Finanzreportings und die Bilanzerstellung gewährleistetdie Bilanzerstellung gewährleistet… … entsprechend der festgelegten Ordnungsmäßigkeitskriterien definiert ist.entsprechend der festgelegten Ordnungsmäßigkeitskriterien definiert ist.
Es gibt entsprechende Unterlagen (nachvollziehbar, ausreichend Es gibt entsprechende Unterlagen (nachvollziehbar, ausreichend detailliert und richtig) überdetailliert und richtig) über
Aufzeichnung von TransaktionenAufzeichnung von TransaktionenAusgaben und Einnahmen des Unternehmen sind vom Management Ausgaben und Einnahmen des Unternehmen sind vom Management angemessen freigegebenangemessen freigegebenUnberechtigte Transaktionen werden verhindert oder zeitnah erkanntUnberechtigte Transaktionen werden verhindert oder zeitnah erkannt
48Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Verantwortung des ManagementVerantwortung des Management
Übername der Verantwortung für die Wirksamkeit des Übername der Verantwortung für die Wirksamkeit des IKSIKS
Beurteilung der Wirksamkeit an Hand entsprechender Beurteilung der Wirksamkeit an Hand entsprechender Kriterien (Management-Assessment)Kriterien (Management-Assessment)
Bereitstellung von Evidence und DokumentationBereitstellung von Evidence und Dokumentation
Erstellung einer schriftlichen Erklärung über die Erstellung einer schriftlichen Erklärung über die Wirksamkeit des IKSWirksamkeit des IKS
49Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Verantwortung des AuditorsVerantwortung des Auditors
Der Auditor muss die Vorgehensweise des Management-Der Auditor muss die Vorgehensweise des Management-Assessments verstehen und die Beurteilung des Managements Assessments verstehen und die Beurteilung des Managements evaluierenevaluieren
Der Auditor muss hierbeiDer Auditor muss hierbei
bestimmen, welche Kontrollaktivitäten wesentlich sindbestimmen, welche Kontrollaktivitäten wesentlich sind
die Kontrollaktivitäten dokumentierendie Kontrollaktivitäten dokumentieren
Design und Wirksamkeit beurteilenDesign und Wirksamkeit beurteilenKontrolle dazu geeignet, das Prozessziel zu erreichenKontrolle dazu geeignet, das Prozessziel zu erreichen
Kontrollen sind den Risiken entsprechend festgelegtKontrollen sind den Risiken entsprechend festgelegt
Kontrollschwächen bestimmen und deren Auswirkung bewerten Kontrollschwächen bestimmen und deren Auswirkung bewerten (Significant Deficiencies oder Material Weaknesses)(Significant Deficiencies oder Material Weaknesses)
Findings und Auswirkungen kommunizierenFindings und Auswirkungen kommunizieren
50Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IT Controls – gemäß PCAOBIT Controls – gemäß PCAOB
IT controls in drei EbenenIT controls in drei Ebenen
IT Überlegungen im Kontrollumfeld (Planung, IT Überlegungen im Kontrollumfeld (Planung, Organisation, Personal, …)Organisation, Personal, …)
Anwendungskontrollen (Application Controls)Anwendungskontrollen (Application Controls)
IT General ControlsIT General Controls
Management ist für Definition und Test von IT Management ist für Definition und Test von IT Kontrollen auf allen drei Ebenen verantwortlichKontrollen auf allen drei Ebenen verantwortlich
Einsatz eines Control Frameworks, das sich an COSO Einsatz eines Control Frameworks, das sich an COSO orientiert, empfohlenorientiert, empfohlen
51Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Auswirkungen von Sarbanes Oxley Act auf die ITAuswirkungen von Sarbanes Oxley Act auf die IT
Massive AuswirkungenMassive AuswirkungenKontrollen müssen dokumentiert und geprüft Kontrollen müssen dokumentiert und geprüft werdenwerdengroße Teile der Kontrollen in der IT große Teile der Kontrollen in der IT (oft 50 bis 70 %)(oft 50 bis 70 %)Im Regelfall mehrere hundert KontrollenIm Regelfall mehrere hundert KontrollenWesentliche Kontroll-Schwachstellen sind oft in Wesentliche Kontroll-Schwachstellen sind oft in der ITder ITUnterscheidung in Anwendungskontrollen und Unterscheidung in Anwendungskontrollen und General IT ControlsGeneral IT ControlsCobiT als Standard für General IT Controls CobiT als Standard für General IT Controls anerkanntanerkanntÜberleitung von COSO auf CobiT in einer Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance InstituteVeröffentlichung vom IT Governance Institute
52Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IT General Controls – gemäß PCAOBIT General Controls – gemäß PCAOB
IT General Controls sind Kontrollen, die zur Steuerung IT General Controls sind Kontrollen, die zur Steuerung von IT Systemen und IT Prozessen im Einsatz sind.von IT Systemen und IT Prozessen im Einsatz sind.
ITGCs sind für Risiken der folgenden Bereiche ITGCs sind für Risiken der folgenden Bereiche umzusetzenumzusetzen
Zugriff zu Programmen und DatenZugriff zu Programmen und DatenÄnderung von ProgrammenÄnderung von ProgrammenEntwicklung von ProgrammenEntwicklung von ProgrammenBetrieb von ITBetrieb von ITEnd User Computing *End User Computing *
* End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken* End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken
53Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ITGC und AnwendungskontrollenITGC und Anwendungskontrollen
Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, die durch IT Systeme und Applikationen unterstützt werdendie durch IT Systeme und Applikationen unterstützt werdenDer Kernprozess ist üblicherweise für die Identifikation und Der Kernprozess ist üblicherweise für die Identifikation und Dokumentation der Kontrollen zuständigDokumentation der Kontrollen zuständigBeispiele für derartige KontrollenBeispiele für derartige Kontrollen
AutorisierungAutorisierungKonfigurationen (zB Kontenpläne)Konfigurationen (zB Kontenpläne)Ausnahmereports (zB über erfolgte Bearbeitungen)Ausnahmereports (zB über erfolgte Bearbeitungen)SchnittstellenSchnittstellenSystemzugriffSystemzugriff
Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Wirksamkeit von AnwendungskontrollenWirksamkeit von Anwendungskontrollen
Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC automatisch unwirksam!automatisch unwirksam!
54Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
SOX ZusammenfassungSOX Zusammenfassung
Fokussiert auf FinanzberichteFokussiert auf Finanzberichte
Festlegung des IKS durch das ManagementFestlegung des IKS durch das Management
Identifikation von Risiken und ProzessenIdentifikation von Risiken und Prozessen
Identifikation oder Neudefinition von entsprechenden KontrollenIdentifikation oder Neudefinition von entsprechenden Kontrollen
Dokumentation der Prozesse und KontrollenDokumentation der Prozesse und Kontrollen
Regelmäßige Tests der Kontrollen durch das ManagementRegelmäßige Tests der Kontrollen durch das Management
Design: Art der Kontrolle, Anordnung im ProzessDesign: Art der Kontrolle, Anordnung im Prozess
Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Nachvollziehbarkeit der Durchführung von KontrollenNachvollziehbarkeit der Durchführung von Kontrollen
Einleitung und Umsetzung von VerbesserungsmaßnahmenEinleitung und Umsetzung von Verbesserungsmaßnahmen
55Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Sarbanes-Oxley und die EUSarbanes-Oxley und die EU
Derzeit nur für US-notierte Unternehmen geltendDerzeit nur für US-notierte Unternehmen geltend
Auch für deren Töchter (auch in Österreich und EU)Auch für deren Töchter (auch in Österreich und EU)
Übernahme erster Anforderungen in EU (Public Übernahme erster Anforderungen in EU (Public Oversight Board in 8. EU-Audit-Richtlinie gefordert)Oversight Board in 8. EU-Audit-Richtlinie gefordert)
Ähnlich strenge Regelungen können mittelfristig in der Ähnlich strenge Regelungen können mittelfristig in der EU Realität werdenEU Realität werden
Auch hier gravierende Auswirkungen auf die ITAuch hier gravierende Auswirkungen auf die IT
56
GesetzeGesetze
57Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
GesetzestexteGesetzestexte
§ 189 HGB:§ 189 HGB:
(2) Lesbarkeit(2) Lesbarkeit
(3) Inhaltsgleiche, vollständige, geordnete (3) Inhaltsgleiche, vollständige, geordnete Wiedergabe (volle Aufbewahrungsfrist)Wiedergabe (volle Aufbewahrungsfrist)
§ 131 BAO:§ 131 BAO:
(2) Zusammenhang zw. Buchungen und Belegen (2) Zusammenhang zw. Buchungen und Belegen nachweisbar; Nachweis der Vollständigkeit und nachweisbar; Nachweis der Vollständigkeit und RichtigkeitRichtigkeit
(3) Datenträger können verwendet werden(3) Datenträger können verwendet werden
58Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Aktiengesetz (AktG)Aktiengesetz (AktG)
Viele Bestimmungen, die zu Corporate Governance Viele Bestimmungen, die zu Corporate Governance beitragen,beitragen,
zB § 81 Quartalsberichte und Jahresberichte an den zB § 81 Quartalsberichte und Jahresberichte an den AufsichtsratAufsichtsrat
§ 92 Ausschüsse für Jahresabschlusserstellung§ 92 Ausschüsse für Jahresabschlusserstellung
Vorstandsverantwortung für Corporate Governance Vorstandsverantwortung für Corporate Governance wird derzeit in § 82 subsummiert:wird derzeit in § 82 subsummiert:
„„Der Vorstand hat dafür zu sorgen [...] dass ein Der Vorstand hat dafür zu sorgen [...] dass ein internes Kontrollsystem geführt wird, das den internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht“.Anforderungen des Unternehmens entspricht“.
59Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
GmbHGGmbHG
Bei großen GmbHs gelten die Bestimmungen des Bei großen GmbHs gelten die Bestimmungen des AktG über Aufsichtsräte sinngemäß.AktG über Aufsichtsräte sinngemäß.
Die Verantwortung der Geschäftsführer für Die Verantwortung der Geschäftsführer für Corporate Governance wird in § 22 subsummiert:Corporate Governance wird in § 22 subsummiert:
„„Die Geschäftsführer haben dafür zu sorgen...dass Die Geschäftsführer haben dafür zu sorgen...dass ein internes Kontrollsystem geführt wird, das den ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht“.Anforderungen des Unternehmens entspricht“.
60Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IT Compliance nahe GesetzeIT Compliance nahe Gesetze
DatenschutzgesetzDatenschutzgesetz
FernabsatzgesetzFernabsatzgesetz
Telekommunikationsgesetz Telekommunikationsgesetz
Signaturgesetz, SignaturverordnungSignaturgesetz, Signaturverordnung
eCommerce GesetzeCommerce Gesetz
eGovernment GesetzeGovernment Gesetz
InformationssicherheitsgesetzInformationssicherheitsgesetz
Emittenten Compliance Verordnung Emittenten Compliance Verordnung
……
61Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
DSG - Datensicherheit §14 (1/2)DSG - Datensicherheit §14 (1/2)
Maßnahmen zur Gewährleistung der DatensicherheitMaßnahmen zur Gewährleistung der Datensicherheit
Schutz vor zufälliger oder unrechtmäßiger Zerstörung Schutz vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlustund vor Verlust
ordnungsgemäße Verwendungordnungsgemäße Verwendung
Daten Unbefugten nicht zugänglich Daten Unbefugten nicht zugänglich
62Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
DSG Datensicherheit §14 (2/2)DSG Datensicherheit §14 (2/2)
Aufgabenverteilung - Funktionstrennung im UnternehmenAufgabenverteilung - Funktionstrennung im Unternehmen
Gültige Aufträge vorhanden (Dokumentation!)Gültige Aufträge vorhanden (Dokumentation!)
Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften)Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften)
Physische ZugriffssicherheitPhysische Zugriffssicherheit
Logische ZugriffssicherheitLogische Zugriffssicherheit
Absicherung der Geräte gegen unbefugte InbetriebnahmeAbsicherung der Geräte gegen unbefugte Inbetriebnahme
Protokollierung der VerwendungsvorgängeProtokollierung der Verwendungsvorgänge
Dokumentation über die bisher aufgezählten Punkte: Dokumentation über die bisher aufgezählten Punkte: Richtlinien/Auditing/MaßnahmenRichtlinien/Auditing/Maßnahmen
63
Standards für IT GovernanceStandards für IT Governance
64
ITILIT Infrastructure Library
ITILIT Infrastructure Library
65Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
IncidentManagement
ProblemManagement
ChangeManagement
ReleaseManagement
ContinuityManagement
AvailabilityManagement
CapacityManagement
FinancialManagement
Service LevelManagement
Security Management
Configuration Management
ITIL - IT Infrastructure Library ITIL - IT Infrastructure Library
66Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ITIL – Komponenten (1/2)ITIL – Komponenten (1/2)
Planning to Implement Service ManagementPlanning to Implement Service ManagementWesentliche Aufgaben in der Planung und Umsetzung von IT Service Wesentliche Aufgaben in der Planung und Umsetzung von IT Service ManagementManagement
ICT Infrastructure ManagementICT Infrastructure ManagementNetzwerkmanagementNetzwerkmanagementBetriebsmanagementBetriebsmanagementInstallation von SystemenInstallation von Systemen
Application Management Application Management Softwareentwicklung mit Hilfe eines Lify-Cycle AnsatzesSoftwareentwicklung mit Hilfe eines Lify-Cycle Ansatzes
ITIL Security Management ITIL Security Management Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT SecuritSecurit
The Business PerspectiveThe Business PerspectiveBeziehungsmanagement zum BusinessBeziehungsmanagement zum BusinessOutsourcingOutsourcingKontinuierliche VerbesserungKontinuierliche Verbesserung
67Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ITIL – Komponenten (2/2)ITIL – Komponenten (2/2)
Service SupportService SupportService Desk Service Desk Configuration ManagementConfiguration Management Incident Management Incident Management Problem Management Problem Management Release Management Release Management Change ManagementChange Management
Service DeliveryService DeliveryService Level ManagementService Level ManagementFinancial ManagementFinancial ManagementCapacity ManagementCapacity ManagementAvailability ManagementAvailability ManagementIT Continuity ManagementIT Continuity Management
68
CobiTCobiT
69Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
CobiTCobiT
CobiT = Control Objectives for Information and Related CobiT = Control Objectives for Information and Related TechnologyTechnologyProzessorientiertes Framework für die Steuerung von IT Prozessorientiertes Framework für die Steuerung von IT ProzessenProzessenHerausgegeben vom IT Governance Institute, früher ISACAHerausgegeben vom IT Governance Institute, früher ISACAInhalt wird vom CobiT Steering Committee gesteuert und von Inhalt wird vom CobiT Steering Committee gesteuert und von Universitäten, Experten aus den Bereichen IT Management, Universitäten, Experten aus den Bereichen IT Management, Governance, Consulting und Audit entwickeltGovernance, Consulting und Audit entwickeltOrientiert sich an Unternehmenszielen und Orientiert sich an Unternehmenszielen und UnternehmenserfordernissenUnternehmenserfordernissenWerkzeug für Geschäftsführung, IT Management und IT Werkzeug für Geschäftsführung, IT Management und IT ProzessmanagerProzessmanagerBasiert auf einer Vielzahl internationaler StandardsBasiert auf einer Vielzahl internationaler StandardsDokumente auf www.isaca.org zum Download und als Bücher Dokumente auf www.isaca.org zum Download und als Bücher verfügbarverfügbar
70Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Entwicklung von CobiTEntwicklung von CobiT
Governance
Management
Control
Audit
COBIT 1 COBIT 2 COBIT 3 COBIT 4
1996 1998 2000 2005
71Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
CobiT – BestandteileCobiT – Bestandteile
IT Prozesse
Control Objectives
Control Practices
Audit Guidelines
Activity Goals
Maturity ModelleKey Goal Indicators
Key Performance Indicators
Kerngeschäft
Anforderungen Information
gesteuert durch
realisiert
durchüber
setzt
in
geprüft
durch
effi
zien
t un
d e
ffek
tiv
dur
ch
gem
esse
n du
rch
für
Out
put für Reife
für Perfo
rmance
72Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Vom Ziel zur ArchitekturVom Ziel zur Architektur
Unternehmensziele für IT
IT Ziele
Unternehmens-architektur für IT
bestimmen
messen
messen
bestimmen
IT S
corecard
Unternehmens- und Governance- Erfordernisse
73Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Unternehmensziele
IT Ziele
IT Prozesse
Unternehmens Erfordernisse
Governance Erfordernisse
Informations -Services
Information Criteria
erfordern beeinflussen
setzen voraus
Unterstützung durch CobiTUnterstützung durch CobiT
IT Prozesse(mit Verantwortlichen)
liefernInformation
Anwendungen
Infrastrukturund Personal
betreiben
benötigt
74Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Unternehmensziele für IT
IT Ziele
IT Prozesse
Unternehmens Erfordernisse
Governance Erfordernisse
Informations -Services
Information Criteria
erfordern beeinflussen
setzen voraus
Unterstützung durch CobiTUnterstützung durch CobiT
IT Prozesse(mit Verantwortlichen)
liefernInformation
Anwendungen
Infrastrukturund Personal
betreiben
benötigt
75Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ProzessmessungProzessmessung
Verstehe Security-erfordernisse,
Schwachstellen und Bedrohungen.
Reviewfrequenz der Arten von
überwachten Security-Vorfällen.
Erkenne und löse unberechtigten
Zugriff auf Informationen,
Anwendungen und Infrastruktur.
Anzahl der Zugriffs-verletzungen
Sicherstellen, dass IT Services Angriffe
überstehen und wieder hergestellt werden können
Anzahl der tatsächlichen Vorfälle mit
Auswirkung auf das Unternehmen
Erhalte den Ruf und die
Vormachtstellung des Unternehmens.
Anzahl von Vorfällen, die
öffentliche Erregung verursachen.
Definiere Ziele
Verbessere Performance
Messe die E
rreichungV
erbe
sser
e un
d ric
hte
neu
aus
Aktivitäts-Ziel
Prozess-ziel
IT Ziel
Unternehmens-Ziel
gemessen durch gemessen durch gemessen durch gemessen durch
Prozessmessung KPIKGI
IT Messung KPIKGI
Unternehmensmessung KPIKGI
trei
ben
trei
ben
trei
ben
76Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)
0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert
0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert
Derzeitiger Status
Internationaler Standard
Strategisches Ziel
Derzeitiger Status
Internationaler Standard
Strategisches Ziel
SymboleSymbole ReifegradeReifegrade
0 1 2 3 4 5
Non-existent(nicht existent)
Initial(initial)
Repeatable(wiederholbar)
Defined(definiert)
Managed(gemanagt)
Optimised(optimiert)
77Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Der IT Prozess nach CobiTDer IT Prozess nach CobiT
INFORMATION
Monitor and Evaluate
Deliver and Support
Acquire and Implement
Plan and Organise
• Effizienz• Effektivität• Vertraulichkeit• Integrität• Verfügbarkeit• Compliance• Verlässlichkeit
• Anwendungen• Information• Infrastruktur• Personal
IT RESSOURCEN
78Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Plan and Organize(plane und organisiere)Plan and Organize(plane und organisiere)
PO1 Define a strategic IT plan (Definiere einen strategischen IT Plan)PO2 Define the information architecture (Definiere die
Informationsarchitektur)PO3 Determine technological direction (Bestimme die technologische
Richtung)PO4 Define the IT processes, organisation and relationships (Definiere
die IT Prozesse, Organisation und Beziehungen)PO5 Manage the IT investment (Manage IT Investitionen)PO6 Communicate management aims and direction (Kommuniziere
Ziele und Richtung des Management)PO7 Manage IT human resources (Manage die Human-Ressources)PO8 Manage quality (Manage Qualität)PO9 Assess and manage IT risks (Beurteile und Manage IT Risiken)PO10 Manage projects (Manage Projekte)
79Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Acquire and Implement(beschaffe und implementiere)Acquire and Implement(beschaffe und implementiere)
AI1 Identify automated solutions (Identifiziere und automatisiere Lösungen)
AI2 Acquire and maintain application software (Beschaffe und erhalte Anwendungssoftware)
AI3 Acquire and maintain technology infrastructure (Beschaffe und erhalte technologische Infrastruktur)
AI4 Enable operation and use (Ermögliche Betrieb und Verwendung)
AI5 Procure IT resources (Beschaffe IT Ressourcen)
AI6 Manage changes (Manage Changes)
AI7 Install and accredit solutions and changes (Installiere und akkreditiere Solutions und Changes)
80Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Deliver and Support(erbringe und unterstütze)Deliver and Support(erbringe und unterstütze)
DS1 Define and manage service levels (Definiere und manage Service Levels)DS2 Manage third-party services (Manage Leistungen von Dritten)DS3 Manage performance and capacity (Manage Performance und Kapazität)DS4 Ensure continuous service (Stelle den kontinuierlichen Betrieb sicher)DS5 Ensure systems security (Stelle Security von Systemen sicher)DS6 Identify and allocate costs (Identifiziere und verrechne Kosten)DS7 Educate and train users (Schule und trainiere User)DS8 Manage service desk and incidents (Manage den Service Desk und
Incidents)DS9 Manage the configuration (Manage die Konfiguration)DS10 Manage problems (Manage Probleme)DS11 Manage data (Manage Daten)DS12 Manage the physical environment (Manage die physische Umgebung)DS13 Manage operations (Manage den Betrieb)
81Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Monitor and Evaluate(überwache und evaluiere)Monitor and Evaluate(überwache und evaluiere)
ME1 Monitor and evaluate IT performance (Überwache und evaluiere IT Performance)
ME2 Monitor and evaluate internal control (Überwache und evaluiere Interne Kontrollen)
ME3 Ensure regulatory compliance (Stelle Compliance sicher)
ME4 Provide IT governance (Sorge für IT Governance)
82Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Bestandteile von ProzessenBestandteile von Prozessen
Prozessbeschreibung
Domäne und InformationResources
IT Ziele
Prozessziele
wichtige Aktivitäten
wichtige Metriken
IT Governance& IT Resources
83Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Bestandteile von ProzessenBestandteile von Prozessen
RACI-Chart zur Darstellung der Verantwortlichkeiten, zBRACI-Chart zur Darstellung der Verantwortlichkeiten, zB
Inputs und Outputs, zBInputs und Outputs, zB
84Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Bestandteile von ProzessenBestandteile von Prozessen
Messgrößen auf unterschiedlichen Ebenen und deren Verbindung Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zBzu IT Zielen, zB
85Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Bestandteile von ProzessenBestandteile von Prozessen
Prozessspezifisches Reifegradmodell, zBProzessspezifisches Reifegradmodell, zB
86Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Bestandteile von ProzessenBestandteile von Prozessen
214 Detaillierte Control Objectives, zB:214 Detaillierte Control Objectives, zB:
87
ValITValIT
88Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
The Fundamental QuestionThe Fundamental Question
Are we managing our investments Are we managing our investments in IT such that:in IT such that:
we are getting optimal value;we are getting optimal value;
at an affordable cost; andat an affordable cost; and
with an acceptable level of risk?with an acceptable level of risk?
89Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
A New PerspectiveA New Perspective
IT Investments
Investments inIT-enabled Change
90Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Gartner – more than 600 billion $ thrown away annually on ill conceived or ill executed IT projects
Standish Group – about 20% of projects fail outright, 50% are challenged and only 30% are successful
ITGI 2005 Survey early findings confirm concerns
0% 20% 40% 60% 80% 100%
1998
2000
2002
2004
Successful Failed Challenged
Low return from high-cost IT investments, and transparency of IT’s performance are two of the top issues
More than 30% claim negative return from IT investments targeting efficiency gains
40% do not have good alignment between IT plans and business strategy
Interest in and use of active management of the return on IT investment has doubled in 2 years (28 to 58%)
The Reality
91Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Projects, Programmes and Portfolios
PortfolioPortfolioManagementManagement
Programme Programme ManagementManagement
Project Project ManagementManagement
Programme – a structured grouping of projects designed to produce clearly identified business value
Project – a structured set of activities concerned with delivering a defined capability based on an agreed schedule and budget
Portfolio – a suite of business programmes managed to optimise overall enterprise value
92Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
The strategic question. Is the investment:In line with our vision?Consistent with our business principles?Contributing to our strategic objectives?Providing optimal value, at affordable cost, at an acceptable level of risk?
In the value question. Do we have:A clear and shared understanding of the expected benefits?Clear accountability for realising the benefits?Relevant metrics?An effective benefits realisation process?
The architecture question. Is the investment:In line with our architecture?Consistent with our architectural principles?Contributing to the population of our architecture?In line with other initiatives?
The delivery question. Do we have:Effective and disciplined delivery and change management processes?Competent and available technical and business resources t deliver:
the required capabilities; andthe organisational changes required to leverage the capabilities.
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?Some fundamental
questionsabout thevalue deliveredby IT
The Four “Ares” - continually asking…
93Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Val IT Principles
IT-enabled investments will be managed as IT-enabled investments will be managed as a portfolio of investmentsa portfolio of investments. .
IT-enabled investments will include the IT-enabled investments will include the full scope of activities full scope of activities that are that are required to achieve business value. required to achieve business value.
IT-enabled investments will be managed through their IT-enabled investments will be managed through their full economic life full economic life cyclecycle. .
Value delivery practices will recognise that there areValue delivery practices will recognise that there are different categories different categories of investmentsof investments that will be evaluated and managed differently. that will be evaluated and managed differently.
Value delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will and will respond quickly to any changes or deviations. respond quickly to any changes or deviations.
Value delivery practices will engage all stakeholders and assign Value delivery practices will engage all stakeholders and assign appropriate accountabilityappropriate accountability for the delivery of capabilities and the for the delivery of capabilities and the realisation of business benefits. realisation of business benefits.
Value delivery practices will be Value delivery practices will be continually monitored, evaluated and continually monitored, evaluated and improvedimproved. .
94Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ValITProcesses & Key Management Practices
VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted
accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category
PM1 Maintain human resource inventory
PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements
and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme
concept business casePM8 Evaluate & assign relative score to
programme business casePM9 Create overall portfolio viewPM10 Make and communicate
investment decisionPM11 Stage-gate (and fund) selected
programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio
performance
IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme
ValueGovernance
(VG)
PortfolioManagement
(PM)Investment
Management(IM)
VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted
accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category
PM1 Maintain human resource inventory
PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements
and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme
concept business casePM8 Evaluate & assign relative score to
programme business casePM9 Create overall portfolio viewPM10 Make and communicate
investment decisionPM11 Stage-gate (and fund) selected
programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio
performance
IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme
ValueGovernance
(VG)
PortfolioManagement
(PM)Investment
Management(IM)
95Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Val IT Framework - DetailVal IT Framework - Detail
Domain: Value Governance (VG)Process CobiT RACI Chart
Description Key Management Practices Cross Ref. Exec Bus IT
CRAPrimary: PO1.1, ME3.1-3, ME3.3Secondary:ME3.2
VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount-abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities and controlling the costs should be clearly assigned and monitored.
CRAPrimary: PO4.6, PO4.15Secondary:PO4.8, PO4.9
VG3 Define roles & responsibilitiesDefine and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand services to allow sufficient authority to exercise the role and responsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship;programme management; project management; and associated supportroles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise.
CRAPrimary: PO4.1, ME1.1, ME1.3, ME3.1Secondary:PO5.2-5, PO10.2
VG2 Define and implement processesDefine, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT-enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocation consis- tent with the priorities; stage-gating of invest-ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services.
CCA,RPrimary: PO1.2, PO4.4, ME3.1, ME3.2
VG1 Ensure informed and committed leadershipThe reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a sound understand-ing of strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated.
•Establish governance, monitoring and control framework
•Establish Strategic Direction
•Establish portfolio characteristics
96
ISO/IEC 17799:2005ISO/IEC 17799:2005
97Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
ISO/IEC 17799:2005ISO/IEC 17799:2005
Historie:Historie:
CoP for Security ManagementCoP for Security Management
BS7799 Part 1BS7799 Part 1
ISO 17799:2000ISO 17799:2000
Zukünftig:Zukünftig:
ISO/IEC 2700x-FamilieISO/IEC 2700x-Familie
Best Practice für Informations-SicherheitBest Practice für Informations-Sicherheit
Herausgegeben von der ISOHerausgegeben von der ISO
Zeitweise im Konflikt mit BSI - GrundschutzhandbuchZeitweise im Konflikt mit BSI - Grundschutzhandbuch
Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)
98Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Kritische Erfolgsfaktoren für die UmsetzungKritische Erfolgsfaktoren für die Umsetzung
Abgleich mit UnternehmenszielenAbgleich mit UnternehmenszielenBerücksichtigung der OrganisationskulturBerücksichtigung der OrganisationskulturUnterstützung und Engagement des Top-ManagementsUnterstützung und Engagement des Top-ManagementsGenaue Kenntnis der Sicherheitserfordernisse, Risikobewertung Genaue Kenntnis der Sicherheitserfordernisse, Risikobewertung und Risiko-Managementund Risiko-ManagementWirksames Marketing von SicherheitszielenWirksames Marketing von SicherheitszielenKommunikation der Security Policy und Security Einrichtungen Kommunikation der Security Policy und Security Einrichtungen an Drittparteienan DrittparteienAusreichende Ressourcen stehen zur VerfügungAusreichende Ressourcen stehen zur VerfügungUser sind geschultUser sind geschultEin umfassender Security Incident Management Prozess ist Ein umfassender Security Incident Management Prozess ist vorhandenvorhandenEin System zum Performance Measurement ist verfügbar, das Ein System zum Performance Measurement ist verfügbar, das laufende Verbesserung ermöglicht und Feedback gibtlaufende Verbesserung ermöglicht und Feedback gibt
99
Integration von StandardsIntegration von Standards
100Integrating Application Mgmt. & Service Mgmt.
COBIT
IT OPERATIONS
IT Governance
Quality Systems & Frameworks
Service M
gm
t.
Ap
p. D
ev. (SD
LC
)
Pro
ject Mg
mt.
IT P
lann
ing
IT S
ecurity
Qu
ality System
IT Governance Model
COSO
ITIL
BS7799
PMI
ISO
SixSigma
TSOIS
Strategy
ASL
CMM
Sarbanes Oxley
US Securities & Exchange Commission
101Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Forrester Quotes (Jan 5 2006)Forrester Quotes (Jan 5 2006)
Establish frameworks to ease Governance Establish frameworks to ease Governance ImplementationImplementation
First CobiT for overall governanceFirst CobiT for overall governance
Then ITIL for service delivery and managementThen ITIL for service delivery and management
Then ISO 17799 for information securityThen ISO 17799 for information security
Balanced Scorecard for measurement and Balanced Scorecard for measurement and communicationcommunication
Source: Forrester Helping Business Thrive On Technology ChangeA Road Map To Comprehensive IT Governance by Craig Symons
102Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Potential CobiT & ITILPotential CobiT & ITIL
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT Governance
Domains
CobiT
ITIL
both
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT Governance
Domains
103Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Potential CobiT & ITILPotential CobiT & ITIL
Stakeholder Stakeholder
C F O
O P s A D S D
C IO C M O C xO
C E O CobiT
ITIL
104Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d Im
plem
ent
Deliver and Support
Mon
itor
an
d E
valu
ate
COBIT 4.0 processes addressed by
IT Infrastructure Library
A
cqu
ire and
Main
tain
Mo
nit
or
and
Eva
luat
e
Deliver and Support
Plan and Organize
1 2 3 4 5 6 7 8 9 10 11 12 13
12
34
12
34
56
1 2 3 4 5 6 7 8 9 10 11
CobiT and ITIL by Jimmy Heschl
1 11 Good coverage Partly addressed No or weak coverage on Process-Level
Coverage of CobiT Processes by ITIL Processes
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Del
iver
y
Ser
vice
Del
iver
y
Ser
vice
Del
iver
y
Ser
vice
Del
iver
y
Ser
vice
Del
iver
y
Ser
vice
Des
k
Inci
dent
M
anag
emen
t
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
M
anag
emen
t
Con
figur
atio
n M
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
M
anag
emen
t
Fin
anci
al
Man
agem
ent
Con
tinui
ty
Man
agem
ent
CobiT & ITIL CobiT & ITIL
105Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
CobiT & ISO/IEC 17799:2005 CobiT & ISO/IEC 17799:2005
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d Im
plem
ent
Deliver and Support
Mon
itor
an
d E
valu
ate
COBIT 4.0 processes addressed by
ISO/IEC 17799:2005
106Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
CobiT & BSI Grundschutzhandbuch CobiT & BSI Grundschutzhandbuch
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d Im
plem
ent
Deliver and Support
Mon
itor
an
d E
valu
ate
COBIT 4.0 processes addressed by
IT Baseline Protection Manual
107Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
CobiT & viele andere … CobiT & viele andere …
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
COSO Internal Control -
Integrated Framework
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
FIPS PUB 200
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
ISO/IEC TR 13335
by Jimmy Heschl
21
43
65
721 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
ISO/IEC 15408:2005
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
PRINCE2
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
PMBOK©
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
TickIT
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
CMMI
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 132
14
3
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
NIST 800-14
108Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Vergleich von StandardsVergleich von Standards
vert
ical
horizontal
flat
dee
p
narrow broad
15408
TickIT NIST
ITIL
COSO
COBIT
FIPS
13335
17799
CMMIIT-BPM
PMBOKPRINCE2
109Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
AusblickAusblick
Die Zeit ist reifDie Zeit ist reif
Für nachvollziehbare und messbare IT ProzesseFür nachvollziehbare und messbare IT Prozesse
Einhaltung internationaler StandardsEinhaltung internationaler Standards
Interne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT
Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) Aufwand
Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch)
Professionelle Unterstützung empfehlenswert – Professionelle Unterstützung empfehlenswert – besonders auch mit Prüfungs- und Kontroll – Know besonders auch mit Prüfungs- und Kontroll – Know HowHow
110Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006
Nutzen durch IT Governance und Compliance mit CobiT et.al.Nutzen durch IT Governance und Compliance mit CobiT et.al.
ComplianceComplianceAufbau eines angemessenen Internen Kontrollsystems Aufbau eines angemessenen Internen Kontrollsystems
§ 82 AktG§ 82 AktGösterr. und internationale Fachgutachten und Gesetze (Compliance)österr. und internationale Fachgutachten und Gesetze (Compliance)auch nach neuen strengeren US-Regelungen (Sarbanes-Oxley)auch nach neuen strengeren US-Regelungen (Sarbanes-Oxley)sowie für etwaige künftige EU-Regelungen (vgl. 8. EU Audit Richtlinie)sowie für etwaige künftige EU-Regelungen (vgl. 8. EU Audit Richtlinie)
Absicherung der GeschäftsführerAbsicherung der GeschäftsführerMöglichkeit, die Compliance mit Gesetzen und Standards zu überprüfenMöglichkeit, die Compliance mit Gesetzen und Standards zu überprüfenTransparenter Überblick über Aktivitäten und Risiken der ITTransparenter Überblick über Aktivitäten und Risiken der ITRevisionssichere Gestaltung der Prozesse und Kontrollen Revisionssichere Gestaltung der Prozesse und Kontrollen
Effektivität (Wirksamkeit)Effektivität (Wirksamkeit)Laufende Ausrichtung der IT und Prozesse an den UnternehmensstrategienLaufende Ausrichtung der IT und Prozesse an den UnternehmensstrategienMöglichkeit zur zeitgemäßen Steuerung und Messung der ITMöglichkeit zur zeitgemäßen Steuerung und Messung der ITPlanung und Steuerung der Prozess-Reifegrade (Maturity Model)Planung und Steuerung der Prozess-Reifegrade (Maturity Model)Steigerung von Qualität und Sicherheit in der ITSteigerung von Qualität und Sicherheit in der ITVerbessertes Prozess- und Kontrollbewusstsein Verbessertes Prozess- und Kontrollbewusstsein
Effizienz (Wirtschaftlich)Effizienz (Wirtschaftlich)Effizienzsteigerung in der ITEffizienzsteigerung in der ITErhöhter Stakeholder Value (realer und empfundener Wert)Erhöhter Stakeholder Value (realer und empfundener Wert)Nachweisbarer Nutzen der ITNachweisbarer Nutzen der IT
111Michael Schirmbrand
Mai 2006Michael Schirmbrand
Mai 2006© 2005 KPMG Alpen-Treuhand Austria Gruppe, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts.
Informationen dieser Präsentation haben informativen Charakter und stellen keinerlei Beratungsleistung dar. Alle Rechte vorbehalten. Printed in Austria. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
KontakteKontakte
Dr. Michael SchirmbrandDr. Michael Schirmbrand
Information Risk ManagementInformation Risk Management
KPMG WienKPMG Wien
+43 (1) 361332 - 656+43 (1) 361332 - 656
[email protected]@kpmg.at
www.kpmg.atwww.kpmg.at
Jimmy HeschlJimmy Heschl
Information Risk ManagementInformation Risk Management
KPMG WienKPMG Wien
+43 (1) 361332 - 618+43 (1) 361332 - 618
[email protected]@kpmg.at
www.kpmg.atwww.kpmg.at