Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Michael Schirmbrand Dezember 13 BUSINESS ADVISORY SERVICE IT Advisory IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit.

Ähnliche Präsentationen


Präsentation zum Thema: "Michael Schirmbrand Dezember 13 BUSINESS ADVISORY SERVICE IT Advisory IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit."—  Präsentation transkript:

1 Michael Schirmbrand Dezember 13 BUSINESS ADVISORY SERVICE IT Advisory IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit

2 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 1 IT-Governance Ausgangslage Fehlende IT-StrategieMehr als 50% der Unternehmen haben keine IT-Strategie. Kein IT-Steuerungsgremium80% der Großunternehmen haben kein nachvollziehbares IT- Steuerungsgremium. Fehlende Ausrichtung an den Geschäftszielen Bei einem Großteil der Unternehmen sind die IT-Ziele nicht erkennbar an den Unternehmenszielen ausgerichtet. Fehlende Nutzenbewertung von IT-Projekten Der Nutzen von (IT-)Projekten wird meist nicht gemessen. Fehlende IT- Prozessorganisation Bei mehr als 50% der Unternehmen sind IT-Prozesse nicht dokumentiert oder messbar. Fehlende IT-KontrollenBei mehr als 90% der Unternehmen sind Kontrollen in IT-Prozessen nicht dokumentiert oder nachvollziehbar. Beobachtungen in Österreich:

3 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 2 Unkenntnis der relevanten Regularien Unkenntnis der relevanten Regularien Bessere Ausbildung und Kenntnis der Prüfer Bessere Ausbildung und Kenntnis der Prüfer Event getriebener Ansatz für Compliance Event getriebener Ansatz für Compliance Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten Warum (IT-) Audits noch immer nicht bestanden werden (Siehe auch Information Systems Control Journal 5/2007)

4 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 3 Gartners Regulations and Related Standards Hype Cycle Solvency II

5 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 4 Stabiler Wert und Vertrauen IT Governance Balance zwischen Risiko und Performance Prozess Verbesserung Verbesserte Kontrolle Integriertes Risiko Management Prozess Transformation Performance Risiko Compliance Die Rechtssprechung zieht das Pendel in Richtung Risiko Wettbewerb und Marktdruck drücken das Pendel Richtung Performance IT Governance managt die Balance zwischen Risikomanagement und Performance- erfordernis.

6 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 5 IT-Governance: Eine Definition Corporate Governance IT Governance Business Informations -systeme Für IT-Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt. IT Governance Institute

7 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 6 Strategic Alignment Strategic Alignment Value Delivery Value Delivery IT Asset Management IT Asset Management Risk Management Risk Management Performance Measurement Performance Measurement Gartner Gartner CSC CSC Compass Compass Giga Giga AICPA/CICA AICPA/CICA CIO Magazine CIO Magazine Technology Council Technology Council Prioritäten der Analysten

8 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 7 IT-Governance Focus Areas Strategic Alignment Value Delivery Risk Management Resource Management Performance Measurement IT Governance

9 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 8 IT Governance Focus Areas (1) Strategic Alignment (Strategische Ausrichtung) Strategic Alignment (Strategische Ausrichtung) Sicherstellung des Verbunds von Unternehmens- und IT Zielen Sicherstellung des Verbunds von Unternehmens- und IT Zielen Festlegung, Beibehaltung und Validierung des Wertbeitrags Festlegung, Beibehaltung und Validierung des Wertbeitrags Abgleich zwischen operativem Betrieb des Unternehmens und jenem der IT Abgleich zwischen operativem Betrieb des Unternehmens und jenem der IT Value Delivery (Schaffen von Werten/Nutzen) Value Delivery (Schaffen von Werten/Nutzen) Realisierung des Wertbeitrags im Leistungszyklus Realisierung des Wertbeitrags im Leistungszyklus Sicherstellung der Generierung des strategisch geplanten Nutzens Sicherstellung der Generierung des strategisch geplanten Nutzens Kostenoptimierung Kostenoptimierung Erbringung des intrinsischen Nutzens der IT Erbringung des intrinsischen Nutzens der IT Resource Management (Ressourcenmanagement) Resource Management (Ressourcenmanagement) Optimierung von Investitionen in IT-Ressourcen Optimierung von Investitionen in IT-Ressourcen geregeltes Management von IT-Ressourcen geregeltes Management von IT-Ressourcen Optimierung von Wissen und Infrastruktur Optimierung von Wissen und Infrastruktur

10 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 9 IT Governance Focus Areas (2) Risk Management (Risikomanagement) Risk Management (Risikomanagement) Risiko-Awareness bei der Unternehmensleitung Risiko-Awareness bei der Unternehmensleitung Verständnis über die Risikobereitschaft (engl: risk appetite) Verständnis über die Risikobereitschaft (engl: risk appetite) Verständnis für Compliance-Erfordernisse Verständnis für Compliance-Erfordernisse Transparenz über die für das Unternehmen wichtigsten Risiken Transparenz über die für das Unternehmen wichtigsten Risiken Integration der Verantwortlichkeit für Risikomanagement in der Organisation Integration der Verantwortlichkeit für Risikomanagement in der Organisation Performance Measurement (Messen von Performance) Performance Measurement (Messen von Performance) Verfolgen und überwachen der Umsetzung der Strategie und von Projekten Verfolgen und überwachen der Umsetzung der Strategie und von Projekten Verwendung von Ressourcen Verwendung von Ressourcen Prozessperformance (Balanced Scorecard) Prozessperformance (Balanced Scorecard) Leistungserbringung (engl: Service Delivery) Leistungserbringung (engl: Service Delivery)

11 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 10 Wesentliche Standards für IT Governance fordernd fordernd Fachgutachten (IFAC, AICPA, KWT) Fachgutachten (IFAC, AICPA, KWT) SAS 70 SAS 70 Sarbanes Oxley Act Sarbanes Oxley Act 8. EU-Audit-Richtlinie 8. EU-Audit-Richtlinie Sonstige relevante Gesetze Sonstige relevante Gesetze helfend helfend CobiT CobiT ValIT ValIT ITIL ITIL ISO ISO CMMI CMMI …

12 11 Fachgutachten

13 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 12 Fachgutachten - Verschiedene herausgebende Organisationen IFAC – International Federation of Accountants IFAC – International Federation of Accountants ISA (ISA Audit Considerations relating to Entities using Service Organizations) ISA (ISA Audit Considerations relating to Entities using Service Organizations) AICPA – American Institute of CPAs AICPA – American Institute of CPAs SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations) SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations) PCAOB – Public Company Accounting Oversight Board PCAOB – Public Company Accounting Oversight Board Auditing Standards Auditing Standards KFS – Kammer der WT - Fachsenat für Datenverarbeitung KFS – Kammer der WT - Fachsenat für Datenverarbeitung KFS/DV1 KFS/DV1 KFS/DV2 KFS/DV2 IDW – Institut der Wirtschaftsprüfer IDW – Institut der Wirtschaftsprüfer PS331 (Serviceorganisationen) PS331 (Serviceorganisationen) FAIT (Fachgutachten für die Prüfung von Informationstechnologie) FAIT (Fachgutachten für die Prüfung von Informationstechnologie)

14 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 13 Fachgutachten Österreich KFS/DV1 der Kammer der WT KFS/DV1 der Kammer der WT Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...) Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...) Forderung nach Funktionstrennung Forderung nach Funktionstrennung Detaillierte Forderungen an die Systemdokumentation Detaillierte Forderungen an die Systemdokumentation KFS/DV 2 KFS/DV 2 Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen

15 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 14 KFS/DV 1 - Grundsätze Allgemeine Anforderungen Allgemeine Anforderungen Unternehmer buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren) Unternehmer buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren) Radierverbot Radierverbot Prüfspur progressiv und retrograd Prüfspur progressiv und retrograd Verbot nachträglicher Schreibvorgänge Verbot nachträglicher Schreibvorgänge

16 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 15 Österreich KFS/DV 1 – Dokumentation Verfahrensdokumentation Verfahrensdokumentation Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein: Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein: Anforderung/Aufgabenstellung Anforderung/Aufgabenstellung Datensatzaufbau Datensatzaufbau Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung Datenausgabe Datenausgabe Datensicherung Datensicherung Verfügbare Programme Verfügbare Programme Art, Inhalt und Umfang der durchgeführten Tests Art, Inhalt und Umfang der durchgeführten Tests Freigaben (Zeitpunkt, Unterschrift des Auftraggebers) Freigaben (Zeitpunkt, Unterschrift des Auftraggebers) Versionsmanagement Versionsmanagement Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,… Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,… Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden Dokumentation der Zugriffsverfahren Dokumentation der Zugriffsverfahren Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz) Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)

17 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 16 KFS/DV 1 - IKS Zusätzlich notwendig Zusätzlich notwendig Funktionstrennung (Fachabteilung/Entwickler/Admin) Funktionstrennung (Fachabteilung/Entwickler/Admin) Zugriffsberechtigungen auf allen Systemebenen Zugriffsberechtigungen auf allen Systemebenen Datensicherungen Datensicherungen Schutz vor Sabotage, Missbrauch und Vernichtung Schutz vor Sabotage, Missbrauch und Vernichtung Kontinuitätsmanagement Kontinuitätsmanagement Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre

18 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 17 IDW RS FAIT 2 - Dokumentation Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1 Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1 Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich: Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich: Doku HW/SW (zB Router, Firewall, Virenscanner,..) Doku HW/SW (zB Router, Firewall, Virenscanner,..) Netzwerkarchitektur (auch Anbindung ISP) Netzwerkarchitektur (auch Anbindung ISP) Verwendete Protokolle Verwendete Protokolle Verschlüsselungsverfahren Verschlüsselungsverfahren Signaturverfahren Signaturverfahren Datenflusspläne, Schnittstellen, relevante Kontrollen Datenflusspläne, Schnittstellen, relevante Kontrollen Autorisierungsverfahren, Verfahren zur Generierung von Buchungen Autorisierungsverfahren, Verfahren zur Generierung von Buchungen

19 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 18 IDW RS FAIT 2 - IKS Für IKS zusätzlich notwendig Für IKS zusätzlich notwendig Firewall Einstellungen (+Überprüfungen) Firewall Einstellungen (+Überprüfungen) Firewall-Logs (+Überprüfungen) Firewall-Logs (+Überprüfungen) Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,) Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,) Scanner (IDS, Viren, Kontrollen,..) Scanner (IDS, Viren, Kontrollen,..) Penetration Tests Penetration Tests Überprüfung dieser Themen durch die Revision Überprüfung dieser Themen durch die Revision Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahren Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahren

20 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 19 Überblick Fachgutachten KFS/DV 2 Fachgutachten Die Prüfung der IT im Rahmen von Abschlussprüfungen Fachgutachten Die Prüfung der IT im Rahmen von Abschlussprüfungen Erarbeitet durch FS DV Erarbeitet durch FS DV Gemeinsame Überarbeitung durch FS DV und FS HR Gemeinsame Überarbeitung durch FS DV und FS HR Verabschiedet im November 2004 Verabschiedet im November 2004

21 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 20 Struktur KFS/DV 2 A.Vorbemerkungen A.1.Anwendungsbereich des Fachgutachtens A.2.Einbindung in die Abschlussprüfung B.Ziel und Umfang der Prüfung der Informationstechnik C.Tätigkeiten des Abschlussprüfers bei der Prüfung der Informationstechnik C.1.Berücksichtigung der Prüfung der Informationstechnik bei der Prüfungsplanung C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften Unternehmens C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden Risiken C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Risiken Anwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der Geschäftsprozesse C.5.Prüfungshandlungen des Abschlussprüfers Prüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die Prüfungsfeststellungen D.Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Unternehmen (IT Outsourcing)

22 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 21 KFS/DV 2 - Grundsätze Prüfung der IT ist der der Prüfung des Internen Kontrollsystems Prüfung der IT ist der der Prüfung des Internen Kontrollsystems Geprüft werden die IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz) Geprüft werden die IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz) Risikoorientierte Prüfung Risikoorientierte Prüfung Prüfung von Stichproben Prüfung von Stichproben Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten Systeme Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten Systeme

23 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 22 KFS/DV 2 – Grobüberblick über IT Prüfungen Gewinnung eines Überblicks über Systeme und Abläufe Gewinnung eines Überblicks über Systeme und Abläufe Prüfung der IT Prozesse (anwendungsunabhängige IT Kontrollen), orientiert zB an CobIT Prüfung der IT Prozesse (anwendungsunabhängige IT Kontrollen), orientiert zB an CobIT Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen) Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)

24 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 23 Prüffelder IT-Prüfung allgemeine IT Kontrollen (General IT Controls) allgemeine IT Kontrollen (General IT Controls) Anwendungskontrollen Anwendungskontrollen Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration) Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)

25 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 24 Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,... Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,... Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT Infrastruktur Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT Infrastruktur IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der Kontrollen IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der Kontrollen KFS/DV 2 – Prüfung anwendungsunabhängig (2)

26 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 25 KFS/DV 2 – Prüfung anwendungsabhängig Einholung von Informationen über die relevanten Anwendungen Einholung von Informationen über die relevanten Anwendungen Prüfung und Beurteilung der Programmfunktionen: Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der Prüfung Prüfung der Anwendungskontrollen: Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.

27 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 26 KFS/DV 2 - Outsourcing Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs- unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts- kriterien genügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmen oder Serviceunternehmen nach dem Standard ISA 402 der IFAC herangezogen werden.

28 27 SAS 70

29 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 28 Überblick SAS 70 (siehe auch ISA 402) Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld) Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld) Veröffentlichung der AICPA Veröffentlichung der AICPA Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-Organisationen Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-Organisationen Praktisch inhaltsgleich zu ISA 402 der IFAC Praktisch inhaltsgleich zu ISA 402 der IFAC In Deutschland auch Standard PS 331 In Deutschland auch Standard PS 331 Achtung: Sarbanes Oxley – vom PCAOB vorgeschrieben Achtung: Sarbanes Oxley – vom PCAOB vorgeschrieben Auch in Österreich bei (fast) allen RZ in Umsetzung Auch in Österreich bei (fast) allen RZ in Umsetzung In Österreich in Richtlinie IWP-PE14 umgesetzt In Österreich in Richtlinie IWP-PE14 umgesetzt

30 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 29 ISA 402 / SAS 70 Anforderungen an Prüfer Anzuwenden bei (Teil-) Outsourcing der IT Anzuwenden bei (Teil-) Outsourcing der IT Prüfer von RZ-Kunden müssen Prüfer von RZ-Kunden müssen Report nach SAS 70 / ISA 402 des RZ einholen oder Report nach SAS 70 / ISA 402 des RZ einholen oder selbst das RZ prüfen oder selbst das RZ prüfen oder jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder Bestätigungsvermerk einschränken oder versagen Bestätigungsvermerk einschränken oder versagen

31 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 30 SAS 70 - Berichterstattung Standard-Text für Bestätigungsvermerk definiert Standard-Text für Bestätigungsvermerk definiert Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen Die Verantwortungen von Kunde und RZ sind klar abzugrenzen Die Verantwortungen von Kunde und RZ sind klar abzugrenzen Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagen Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagen

32 31 Sarbanes Oxley

33 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 32 Sarbanes-Oxley (SOX) Paragraph 404 Section 404 des Sarbanes-Oxley Act fordert: Section 404 des Sarbanes-Oxley Act fordert: Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüber Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüber Der externe, unabhängige Prüfer gibt ein Testat über den Management-Test Der externe, unabhängige Prüfer gibt ein Testat über den Management-Test Prüfer berichtet direkt über die Wirksamkeit des IKS Prüfer berichtet direkt über die Wirksamkeit des IKS Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlich Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlich Andere Unternehmen (foreign issuers) seit 2006 Andere Unternehmen (foreign issuers) seit 2006

34 33 8. EU-Audit-Richtlinie (RL 2006/43/EG) EuroSox

35 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 34 Ausprägung in Österreich Unternehmensrechtsänderungsgesetz (URÄG) 2008 Unternehmensrechtsänderungsgesetz (URÄG) 2008 Verabschiedung am 10. April 2008 Verabschiedung am 10. April 2008 In Kraft: bzw. Geschäftsjahre beginnend nach In Kraft: bzw. Geschäftsjahre beginnend nach Unternehmen von öffentlichem Interesse (Betroffene) Unternehmen von öffentlichem Interesse (Betroffene) Kapitalmarktorientierte Unternehmen Kapitalmarktorientierte Unternehmen Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD-Staat notieren Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD-Staat notieren Versicherungen, Banken Versicherungen, Banken Sehr große Unternehmen Sehr große Unternehmen >196 Mio. EUR Umsatz oder > 98 Mio. EUR Bilanzsumme >196 Mio. EUR Umsatz oder > 98 Mio. EUR Bilanzsumme Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern

36 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International EU-RL / URÄG 2008 – betroffene Parteien Vorstand / GF Vorstand / GF Verantwortet IKS, interne Revision, RM-System Verantwortet IKS, interne Revision, RM-System Stellt Lagebericht und CG-Bericht auf und unterschreibt Stellt Lagebericht und CG-Bericht auf und unterschreibt Prüfungsausschuss Prüfungsausschuss Überwacht IKS, RM-System, interne Revision Überwacht IKS, RM-System, interne Revision Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System) Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System) Abschlussprüfer Abschlussprüfer Prüft Einhaltung relevanter Gesetze (Lagebericht, Erstellung CG-Bericht, IKS,…) Prüft Einhaltung relevanter Gesetze (Lagebericht, Erstellung CG-Bericht, IKS,…) Berichtet über Beanstandungen Berichtet über Beanstandungen

37 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 36 URÄG 2008 Pflichten des Prüfungsausschusses Prüfungsausschuss Prüfungsausschuss § 92 AktG, § 30g GmbHG, § 24 GenG § 92 AktG, § 30g GmbHG, § 24 GenG Pflichten u.a. Pflichten u.a. Überwachung der Rechnungslegung Überwachung der Rechnungslegung Überwachung der Wirksamkeit des IKS Überwachung der Wirksamkeit des IKS ­Schließt interne Revision und RM-System mit ein Prüfung des Lageberichts und des Corporate Governance Berichts Prüfung des Lageberichts und des Corporate Governance Berichts

38 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 37 Auswirkungen 8. EU-RL 8. EU-RL wendet sich kaum direkt an Unternehmen, ABER 8. EU-RL wendet sich kaum direkt an Unternehmen, ABER Der Benchmark von SOX bezüglich IKS wird abfärben Der Benchmark von SOX bezüglich IKS wird abfärben Über den Prüfungsausschuss Über den Prüfungsausschuss Überwachungsaufgaben (IKS, Risikomanagement, etc.) Überwachungsaufgaben (IKS, Risikomanagement, etc.) Über den Prüfer Über den Prüfer Die Ausbildung von Prüfern greift IKS und Risikomanagement auf Die Ausbildung von Prüfern greift IKS und Risikomanagement auf Der Prüfer muss über das IKS berichten Der Prüfer muss über das IKS berichten Über die Verantwortlichkeiten des Vorstands Über die Verantwortlichkeiten des Vorstands Über den Markt Über den Markt Wie und woher bekommt der Vorstand / Prüfungsausschuss seine Informationen über das IKS? Wie und woher bekommt der Vorstand / Prüfungsausschuss seine Informationen über das IKS?

39 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 38 Auswirkungen von Sarbanes Oxley Act auf die IT Massive Auswirkungen Massive Auswirkungen Kontrollen müssen dokumentiert und geprüft werden Kontrollen müssen dokumentiert und geprüft werden große Teile der Kontrollen in der IT (oft 50 bis 70 %) große Teile der Kontrollen in der IT (oft 50 bis 70 %) Im Regelfall mehrere hundert Kontrollen Im Regelfall mehrere hundert Kontrollen Wesentliche Kontroll-Schwachstellen sind oft in der IT Wesentliche Kontroll-Schwachstellen sind oft in der IT Unterscheidung in Anwendungskontrollen und General IT Controls Unterscheidung in Anwendungskontrollen und General IT Controls Cobit als Standard für General IT Controls anerkannt Cobit als Standard für General IT Controls anerkannt Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute

40 39 Frameworks

41 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 40 Frameworks und Standards… Source: PINK Quelle: Pink Roccade/Elefant

42 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International durch The Committee of Sponsoring Organizations of the Treadway Commission veröffentlicht Gemeinsame Sprache über Kontrollen, Definitionen, Modelle Unternehmensziele im Rahmen von COSO sind Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung) Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen) Compliance (Einhaltung von Gesetzen und Regulationen) Zielerreichung über die Ausgestaltung der Komponenten des Frameworks Control Environment (Kontrollumfeld) Risk Assessment (Risikobewertung) Control Activities (Kontrollaktivitäten) Information & Communication (Information & Kommunikation) Monitoring (Überwachung) Benchmark für interne Kontrollen und Verweis in SOX Weiterentwicklungen: September 2004: Enterprise Risk Management (COSO II) Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting COSO (Internal Control - Integrated Framework)

43 42 CobiT

44 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 43 Entwicklung von CobiT Governance Management Control Audit C OBI T 1C OBI T 2C OBI T 3C OBI T

45 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 44 Was ist IT-Governance? IT-GOVERNANCE IT-MANAGEMENT Ziel: Sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt Methode: Führungs- und Organisationsstrukturen sowie Prozesse Verantwortung: Vorstand und Geschäftsführung Setze die Strategie um Erhöhe die Automation (mache das Kerngeschäft wirksam) Senke Kosten (mache das Unternehmen wirtschaftlich) Manage Risiken (Security, Verlässlichkeit und Compliance) Setze Ziele IT arbeitet im Sinne des Kerngeschäfts (Alignment) IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen (Value Delivery) IT Ressourcen werden verantwortungsvoll eingesetzt IT-bezogene Risiken werden angemessen gemanagt Überführe die Richtung in eine Strategie Messe und Berichte über Performance Gib die Richtung vor Evaluiere Performance IT-GOVERNANCE

46 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 45 Unternehmensziele IT Ziele IT Prozesse Unterstützung durch CobiT CobiT

47 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 46 Ausrichtung von IT-Prozessen an Unternehmensziele Typische UnternehmenszieleReferenz zu IT-Ziel

48 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 47 Typische IT-Ziele

49 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 48 CobiT IT-Prozesse INFORMATION Monitor and Evaluate Deliver and Support Acquire and Implement Plan and Organise PO1Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects AI1Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes DS1 Define and manage service levels DS2 Manage third-party services DS3Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance Efficiency Effectiveness Confidentiality Integrity Availability Compliance Reliability Applications Information Infrastructure People IT RESSOURCES Monitor and Evaluate Plan and Organise Acquire and Implement Deliver and Support

50 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 49 Bestandteile von Prozessen (1/3) Prozessbeschreibung Domäne und Information-Criteria IT Ziele Prozessziele wichtige Aktivitäten wichtige Metriken IT Governance & IT Resources

51 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 50 Bestandteile von Prozessen (2/3) RACI-Chart zur Darstellung der Verantwortlichkeiten, zB RACI-Chart zur Darstellung der Verantwortlichkeiten, zB Inputs und Outputs, zB Inputs und Outputs, zB

52 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 51 Bestandteile von Prozessen (3/3) Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zB Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zB

53 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 52 Reifegradmodell (Maturity Model) 0.. Nicht existent 1.. Initial 2.. Wiederholbar 3.. Definiert 4.. Monitoringfunktionen 5.. Optimiert und Automatisiert Derzeitiger Status Internationaler Standard Strategisches Ziel Symbole Reifegrade Non-existent (nicht existent) Initial (initial) Repeatable (wiederholbar) Defined (definiert) Managed (gemanagt) Optimised (optimiert)

54 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 53 Reifegradmodell – (Rising-Star- Model) Strategisches Ziel Handlungsbedarf Derzeitiger Status

55 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 54 Ergebnisse einer Reifegradbeurteilung (zB)

56 55 ValIT A value lense into CobiT

57 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 56 ValIT - Principles IT-enabled investments will be managed as a portfolio of investments. IT-enabled investments will include the full scope of activities that are required to achieve business value. IT-enabled investments will be managed through their full economic life cycle. Value delivery practices will recognize that there are different categories of investments that will be evaluated and managed differently. Value delivery practices will define and monitor key metrics and will respond quickly to any changes or deviations. Value delivery practices will engage all stakeholders and assign appropriate accountability for the delivery of capabilities and the realization of business benefits. Value delivery practices will be continually monitored, evaluated and improved.

58 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 57 Val IT – Processes Investment Management (IM) Portfolio Management (PM) Value Governance (VG)

59 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 58 ValIT Processes & Key Management Practices

60 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 59 Val IT Framework - Detail Domain: Value Governance (VG) ProcessCobiTRACI Chart DescriptionKey Management PracticesCross Ref.ExecBusIT CRAPrimary: PO1.1, ME3.1- 3, ME3.3 Secondary: ME3.2 VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount- abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities and controlling the costs should be clearly assigned and monitored. CRAPrimary: PO4.6, PO4.15 Secondary: PO4.8, PO4.9 VG3 Define roles & responsibilities Define and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand services to allow sufficient authority to exercise the role andresponsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship; programme management; project management; and associated support roles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise. CRAPrimary: PO4.1, ME1.1, ME1.3, ME3.1 Secondary: PO5.2-5, PO10.2 VG2 Define and implement processes Define, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT- enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocationconsis-tent with the priorities; stage-gating of invest- mentprogrammes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services. CCA,RPrimary: PO1.2, PO4.4, ME3.1, ME3.2 VG1 Ensure informed and committed leadership The reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a soundunderstand- ingof strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated. Establish governance, monitoring and control framework Establish Strategic Direction Establish portfolio characteristics

61 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 60 ValIT – Principles (CIO questionnaire results) IT-enabled investments will be managed as a portfolio of investments. IT-enabled investments will include the full scope of activities that are required to achieve business value. IT-enabled investments will be managed through their full economic life cycle. Value delivery practices will recognize that there are different categories of investments that will be evaluated and managed differently. Value delivery practices will define and monitor key metrics and will respond quickly to any changes or deviations. Value delivery practices will engage all stakeholders and assign appropriate accountability for the delivery of capabilities and the realization of business benefits. Value delivery practices will be continually monitored, evaluated and improved.

62 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 61 Started in 2003 Started in 2003 Integration of Standards Integration of Standards Update of CobiT Update of CobiT CobiT Mapping Projekt Künftige mappings Künftige mappings In Umsetzung In Umsetzung TOGAF (Architektur) TOGAF (Architektur) COSO ERM COSO ERM GBPM GBPM Geplant Geplant ITIL v3 ITIL v3 FFEIC (US banking) FFEIC (US banking) NIAC (Insurance) NIAC (Insurance) NIST SP NIST SP FISMA FISMA IAIS Framework (Solvency II) IAIS Framework (Solvency II) HIPAA (Health Insurance) HIPAA (Health Insurance) GLBA (Privacy) GLBA (Privacy) ISO (SW Asset Mgmt) ISO (SW Asset Mgmt) ISO (Service Mgmt) ISO (Service Mgmt) ISO (Risk Mgmt) ISO (Risk Mgmt) ISO (ISO17799) ISO (ISO17799)

63 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 62 CobiT & ITIL by Jimmy Heschl Plan and Organize A c q u i r e a n d I m p l e m e n t Deliver and Support M o n i t o r a n d E v a l u a t e

64 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 63 CobiT und ITIL Stakeholder IT Governance (CobiT, ValIT) CFO OPsADSD CIOCMOCxO CEO ITIL IT xyz Management

65 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 64 Die Stimme der anderen … Establish frameworks to ease Governance Implementation Establish frameworks to ease Governance Implementation First CobiT for overall governance First CobiT for overall governance Then ITIL for service delivery and management Then ITIL for service delivery and management Then ISO for information security Then ISO for information security Balanced Scorecard for measurement and communication Balanced Scorecard for measurement and communication Quelle: Forrester Helping Business Thrive On Technology Change A Road Map To Comprehensive IT Governance by Craig Symons, Jan 2006

66 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 65 Die Stimme der anderen … Combine CobiT and ITIL for Powerful IT Governance Combine CobiT and ITIL for Powerful IT Governance Strong framework tools are essential for ensuring IT resources are aligned with an enterprises business objectives, and that services and information meet quality, fiduciary and security needs. Strong framework tools are essential for ensuring IT resources are aligned with an enterprises business objectives, and that services and information meet quality, fiduciary and security needs. Bottom Line: Bottom Line: CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT governance, control and best-practice framework in IT service management. CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT governance, control and best-practice framework in IT service management. Enterprises that want to put their ITIL program into the context of a wider control and governance framework should use CobiT. Enterprises that want to put their ITIL program into the context of a wider control and governance framework should use CobiT. Quelle: Gartner Technical Guidelines, TG , S.Mingay, S. Bittinger

67 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 66 Ausblick Die Zeit ist reif Die Zeit ist reif Für nachvollziehbare und messbare IT Prozesse Für nachvollziehbare und messbare IT Prozesse Nutzen durch die IT Nutzen durch die IT Einhaltung internationaler Standards Einhaltung internationaler Standards Interne Kontrollsysteme auch in der IT Interne Kontrollsysteme auch in der IT Die Umsetzung erfordert (hohen) Aufwand Die Umsetzung erfordert (hohen) Aufwand Nutzen ist auch kurzfristig zu erzielen (ROI hoch) Nutzen ist auch kurzfristig zu erzielen (ROI hoch) Professionelle Unterstützung ist empfehlenswert – besonders auch mit Prüfungs- und Kontroll – Know How Professionelle Unterstützung ist empfehlenswert – besonders auch mit Prüfungs- und Kontroll – Know How

68 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 67 IT – Governance – Services der KPMG Quick Assessments Quick Assessments Detailbeurteilungen Detailbeurteilungen Gesamthafte Einführung von IT Governance Gesamthafte Einführung von IT Governance Definition und Umsetzung von Verantwortlichkeiten und Rollen Definition und Umsetzung von Verantwortlichkeiten und Rollen Erarbeitung von IT-Strategien Erarbeitung von IT-Strategien Nachweisbare, nutzenorientierte Ausrichtung der IT an den Unternehmenszielen Nachweisbare, nutzenorientierte Ausrichtung der IT an den Unternehmenszielen Gestaltung der IT- Prozesse unter Umsetzung von CobiT und Gestaltung des Internen Kontrollsystems in der IT Gestaltung der IT- Prozesse unter Umsetzung von CobiT und Gestaltung des Internen Kontrollsystems in der IT Erhöhung des Reifegrades der IT-Prozesse Erhöhung des Reifegrades der IT-Prozesse Integration von ITIL, CMM, ISO 17799,… Integration von ITIL, CMM, ISO 17799,… Benchmarking Benchmarking IT Due Diligence IT Due Diligence

69 Michael Schirmbrand Dezember 13 © 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 68 Kontakt – Dr. Michael Schirmbrand Partner of KPMG Austria Partner of KPMG Austria Head of the service line IT Advisory of KPMG Austria Head of the service line IT Advisory of KPMG Austria CPA / PhD CPA / PhD Board Member of ISACA Austria Board Member of ISACA Austria CISA - Certified Information Systems Auditor CISA - Certified Information Systems Auditor CISM – Certified Information Security Manager CISM – Certified Information Security Manager Chairman of the IT committee of the Austrian Chamber of Public Accountants Chairman of the IT committee of the Austrian Chamber of Public Accountants Member of the worldwide CobiT Steering Committee Member of the worldwide CobiT Steering Committee Member of the Steering Committee of the IT Governance Institute Member of the Steering Committee of the IT Governance Institute Author of publications about IT Governance, IT Security und IT Audits as well as several professional articles. Lecturer at Austrian Universities. Author of publications about IT Governance, IT Security und IT Audits as well as several professional articles. Lecturer at Austrian Universities


Herunterladen ppt "Michael Schirmbrand Dezember 13 BUSINESS ADVISORY SERVICE IT Advisory IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit."

Ähnliche Präsentationen


Google-Anzeigen