Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Dr Michael Schirmbrand Mai 2007 BUSINESS ADVISORY SERVICE INFORMATION RISK MANAGEMENT Standards für IT - Audit und IT - Governance.

Ähnliche Präsentationen


Präsentation zum Thema: "Dr Michael Schirmbrand Mai 2007 BUSINESS ADVISORY SERVICE INFORMATION RISK MANAGEMENT Standards für IT - Audit und IT - Governance."—  Präsentation transkript:

1 Dr Michael Schirmbrand Mai 2007 BUSINESS ADVISORY SERVICE INFORMATION RISK MANAGEMENT Standards für IT - Audit und IT - Governance

2 Michael Schirmbrand Mai Agenda Aktuelle Entwicklungen IT Governance (Neue) Internationale und Nationale Compliance- Anforderungen (inkl Sarbanes-Oxley) Standards für IT Prozesse und Compliance ITILCobiT Weitere relevante Standards Integration von CobiT mit ITIL, ISO 17799, CMMI, etc Ausblick

3 3 IT Governance Aktuelle Entwicklungen

4 Michael Schirmbrand Mai Beobachtungen in Österreich Mehr als 50% der Unternehmen haben keine IT Strategie 80% der Großunternehmen haben kein nachvollziehbares IT Steuerungsgremium Bei einem Großteil der Unternehmen sind die IT Ziele nicht erkennbar an den Unternehmenszielen ausgerichtet Der Nutzen von (IT) Projekten wird meist nicht gemessen Bei mehr als 50% der Unternehmen sind IT Prozesse nicht dokumentiert oder messbar Bei mehr als 90% der Unternehmen sind Kontrollen in IT Prozessen nicht dokumentiert oder nachvollziehbar

5 Michael Schirmbrand Mai % der IT Budgets gehen weltweit verloren Aktuelle Schlagzeilen

6 Michael Schirmbrand Mai % der Untenehmen verlangen Busines-Cases für Changes 85% der Untenehmen verlangen Busines-Cases für Changes Nur 40% der freigegebenen Projekte basieren auf realistischen Nutzen-Statements Nur 40% der freigegebenen Projekte basieren auf realistischen Nutzen-Statements Weniger als 10% der Unter- nehmen stellen nachträglich sicher, dass Nutzen tatsächlich generiert wurde Weniger als 10% der Unter- nehmen stellen nachträglich sicher, dass Nutzen tatsächlich generiert wurde Weniger als 5% definieren persönliche Verantwortung für die Nutzenstiftung Weniger als 5% definieren persönliche Verantwortung für die Nutzenstiftung Nutzen Risiken Kosten (Meta Group Juli 2004) IT Governance: Wesentlich ist die Generierung von Nutzen durch die IT

7 Michael Schirmbrand Mai IT Governance: Eine Definition Corporate Governance IT Governance Business Informations -systeme Für IT Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate-Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt IT Governance Institute

8 Michael Schirmbrand Mai Strategic Alignment Strategic Alignment Value Delivery Value Delivery IT Asset Management IT Asset Management Risk Management Risk Management Performance Measurement Performance Measurement Gartner Gartner CSC CSC Compass Compass Giga Giga AICPA/CICA AICPA/CICA CIO Magazine CIO Magazine Technology Council Technology Council Prioritäten der Analysten

9 Michael Schirmbrand Mai IT Governance Domänen Strategic Alignment Value Delivery Risk Management Resource Management Performance Measurement IT Governance

10 Michael Schirmbrand Mai Stabiler Wert und Vertrauen IT Governance Balance zwischen Risiko und Performance Prozess Verbesserung Verbesserte Kontrolle Integriertes Risiko Management Prozess Transformation Performance Risiko Compliance Die Rechtssprechung zieht das Pendel in Richtung Risiko Wettbewerb und Marktdruck drücken das Pendel Richtung Performance IT Governance managt die Balance zwischen Risikomanagement und Performance- erfordernis.

11 Michael Schirmbrand Mai Wesentliche Standards für IT Governance fordernd Fachgutachten (IFAC, AICPA, KWT) SAS 70 Sarbanes Oxley Act Sonstige relevante Gesetze helfendCobiTITIL ISO CMMI

12 12 Fachgutachten

13 Michael Schirmbrand Mai Herausgebende Organisationen IFAC – International Federation of Accountants ISA (ISA Audit Considerations relating to Entities using Service Organizations) AICPA – American Institute of CPAs SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations) PCAOB – Public Company Accounting Oversight Board Auditing Standards KFS – Kammer der WT - Fachsenat für Datenverarbeitung KFS/DV1KFS/DV2 IDW – Institut der Wirtschaftsprüfer PS331 (Serviceorganisationen) FAIT (Fachgutachten für die Prüfung von Informationstechnologie)

14 Michael Schirmbrand Mai ISAs (IFAC) Standards der International Federation of Accountants Für (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln dagegen sprechen Vom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordert De Facto Gesetz für ordnungsgemäße Datenverarbeitung Auszug aus den ISAs ISA Objective and General Principles Governing an Audit of Financial Statements ISA Understanding the Entity and its Environment and Assessing Risks of Material Misstatement ISA The Auditors Procedures in Response to Assessed Risks ISA Audit Considerations relating to Entities using Service Organizations ISA Audit Evidence

15 Michael Schirmbrand Mai Fachgutachten Österreich KFS/DV1 der Kammer der WT Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...) Forderung nach Funktionstrennung Detaillierte Forderungen an die Systemdokumentation KFS/DV 2 Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen

16 Michael Schirmbrand Mai KFS/DV 1 - Ordnungsmäßigkeit Gliederung des Fachgutachtens Grundsätze Die Prüfbarkeit als Ordnungsmäßigkeitskriterium Die Nachvollziehbarkeit des einzelnen Geschäftsvorfalles BelegfunktionJournalfunktionKontenfunktionVerfahrensdokumentation Das Interne Kontrollsystem Systemeinführung und Weiterentwicklung AufbauorganisationAblauforganisationDokumentation

17 Michael Schirmbrand Mai KFS/DV 1 - Grundsätze Allgemeine Anforderungen Kaufmann buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren) Radierverbot Prüfspur progressiv und retrograd Verbot nachträglicher Schreibvorgänge

18 Michael Schirmbrand Mai KFS/DV 1 - Prüfbarkeit Verfahrensdokumentation Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein: Anforderung/AufgabenstellungDatensatzaufbau Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung DatenausgabeDatensicherung Verfügbare Programme Art, Inhalt und Umfang der durchgeführten Tests Freigaben (Zeitpunkt, Unterschrift des Auftraggebers) Versionsmanagement Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,… Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden

19 Michael Schirmbrand Mai KFS/DV 1 - IKS Zusätzlich notwendig Funktionstrennung (Fachabteilung/Entwickler/Admin) Zugriffsberechtigungen auf allen Systemebenen Datensicherungen Schutz vor Sabotage, Missbrauch und Vernichtung Kontinuitätsmanagement Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre

20 Michael Schirmbrand Mai IDW RS FAIT 2 - Dokumentation Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1 Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich: Doku HW/SW (zB Router, Firewall, Virenscanner,..) Netzwerkarchitektur (auch Anbindung ISP) Verwendete Protokolle VerschlüsselungsverfahrenSignaturverfahren Datenflusspläne, Schnittstellen, relevante Kontrollen Autorisierungsverfahren, Verfahren zur Generierung von Buchungen

21 Michael Schirmbrand Mai IDW RS FAIT 2 - IKS Für IKS zusätzlich notwendig Firewall Einstellungen (+Überprüfungen) Firewall-Logs (+Überprüfungen) Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,) Scanner (IDS, Viren, Kontrollen,..) Penetration Tests Überprüfung dieser Themen durch die Revision Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahren

22 Michael Schirmbrand Mai Überblick Fachgutachten KFS/DV 2 Fachgutachten Die Prüfung der IT im Rahmen von Abschlussprüfungen Erarbeitet durch FS DV Gemeinsame Überarbeitung durch FS DV und FS HR Verabschiedet im November 2004

23 Michael Schirmbrand Mai Struktur KFS/DV 2 A.Vorbemerkungen A.1.Anwendungsbereich des Fachgutachtens A.2.Einbindung in die Abschlussprüfung B.Ziel und Umfang der Prüfung der Informationstechnik C.Tätigkeiten des Abschlussprüfers bei der Prüfung der Informationstechnik C.1.Berücksichtigung der Prüfung der Informationstechnik bei der Prüfungsplanung C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften Unternehmens C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden Risiken C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Risiken Anwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der Geschäftsprozesse C.5.Prüfungshandlungen des Abschlussprüfers Prüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die Prüfungsfeststellungen D.Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Unternehmen (IT Outsourcing)

24 Michael Schirmbrand Mai KFS/DV 2 - Grundsätze Prüfung der IT ist der der Prüfung des Internen Kontrollsystems Geprüft werden die IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz) Risikoorientierte Prüfung Prüfung von Stichproben Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten Systeme

25 Michael Schirmbrand Mai KFS/DV 2 – Grobüberblick über IT Prüfungen Gewinnung eines Überblicks über Systeme und Abläufe Prüfung der IT Prozesse (anwendungsunabhängige IT Kontrollen), orientiert zB an CobIT Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)

26 Michael Schirmbrand Mai Prüffelder IT-Prüfung allgemeine IT Kontrollen (General IT Controls) Anwendungskontrollen Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)

27 Michael Schirmbrand Mai Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,... Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT Infrastruktur IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der Kontrollen KFS/DV 2 – Prüfung anwendungsunabhängig (2)

28 Michael Schirmbrand Mai KFS/DV 2 – Prüfung anwendungsabhängig Einholung von Informationen über die relevanten Anwendungen Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs- pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der Prüfung Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.

29 Michael Schirmbrand Mai KFS/DV 2 - Outsourcing Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs- unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts- kriterien genügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmen oder Serviceunternehmen nach dem Standard ISA 402 der IFAC herangezogen werden.

30 30 SAS 70

31 Michael Schirmbrand Mai Überblick SAS 70 (siehe auch ISA 402) Standard für die Prüfung von Outsourcing- Dienstleistern (und deren Kontrollumfeld) Veröffentlichung der AICPA Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-Organisationen Praktisch inhaltsgleich zu ISA 402 der IFAC In Deutschland auch Standard PS 331 Achtung: Sarbanes Oxley – vom PCAOB vorgeschrieben Auch in Österreich bei (fast) allen RZ in Umsetzung

32 Michael Schirmbrand Mai ISA 402 / SAS 70 Anforderungen an Prüfer Anzuwenden bei (Teil-) Outsourcing der IT Prüfer von RZ-Kunden müssen Report nach SAS 70 / ISA 402 des RZ einholen oder selbst das RZ prüfen oder jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder Bestätigungsvermerk einschränken oder versagen

33 Michael Schirmbrand Mai SAS 70 – Die Reports (1) Typ I: Report on controls placed in operation Die im Service-Unternehmen vorgesehenen internen Kontrollen, die für einen Kunden relevant sind, werden auf Ihre Angemessenheit hin überprüft. Der Report beinhaltet folgende Informationen: den Fluss der Transaktionen des Kunden innerhalb des Service-Unternehmens Kontrollen der relevanten Applikationen im Service-Unternehmen ob diese Kontrollen angemessen sind und angewendet werden Der Report Typ I umfasst nicht den Test der eingesetzten Kontrollmaßnahmen.

34 Michael Schirmbrand Mai Typ II: Reports on controls placed in operation and tests of operating effectiveness Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser die Effektivität der Kontrollen beurteilt und sich Wirtschaftprüfer in Teilbereichen darauf verlassen können und so bei funktionierenden Kontrollen im Rechenzentrum bei Prüfungen von Kunden mit einer reduzierten Risikoeinschätzung vorgehen können. Voraussetzung: Die Kontrollen in Prozessen müssen definiert und wirksam sein. SAS 70 – Die Reports (2)

35 Michael Schirmbrand Mai SAS 70 - Berichterstattung Standard-Text für Bestätigungsvermerk definiert Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen Die Verantwortungen von Kunde und RZ sind klar abzugrenzen Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagen

36 Michael Schirmbrand Mai Würdigung von SAS 70 Reports Typ II Kritisch zu würdigen und eventuell abstützen Bei Zweifeln: Gespräche mit dem Prüfer des RZ Anforderung von Zusatzprüfungen durch den Prüfer des RZ Eventuell selbst Zusatzprüfungshandlungen (nicht nach ISA 402) Verweis auf SAS 70 Report unzulässig

37 Michael Schirmbrand Mai ISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei Rechenzentrumskunden Bei Vorliegen von SAS 70/ISA 402 – Reports: Klares Aufzeigen der Serviceverantwortungen von Kunde und Rechenzentrum Die IT Prozesse und -Systeme, die in der Verantwortung des Kunden liegen, sind auch von dessen Wirtschaftsprüfer zu prüfen

38 38 Sarbanes Oxley

39 Michael Schirmbrand Mai Sarbanes-Oxley (SOX) Paragraph 404 Section 404 des Sarbanes-Oxley Act fordert: Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüber Der externe, unabhängige Prüfer gibt ein Testat über den Management-Test Prüfer berichtet direkt über die Wirksamkeit des IKS Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlich Andere Unternehmen (foreign issuers) ab 2006

40 Michael Schirmbrand Mai PCAOB, Auditing Standard No. 2 Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Oversight Board) Anforderungen für die SOX-Prüfungen und Anleitung zur Durchführung Management Tests Jahresabschlussprüfung Grundsätzlich am Internal Control framework COSO ausgerichtet Umfeld (control environment) Risikobewertung (risk assessment) Kontrollen (control activities) Information und Kommunikation (information and communication) Überwachung (monitoring)

41 Michael Schirmbrand Mai Verantwortung des Management Übername der Verantwortung für die Wirksamkeit des IKS Beurteilung der Wirksamkeit an Hand entsprechender Kriterien (Management-Assessment) Bereitstellung von Evidence und Dokumentation Erstellung einer schriftlichen Erklärung über die Wirksamkeit des IKS

42 Michael Schirmbrand Mai Verantwortung des Auditors Der Auditor muss die Vorgehensweise des Management- Assessments verstehen und die Beurteilung des Managements evaluieren Der Auditor muss hierbei bestimmen, welche Kontrollaktivitäten wesentlich sind die Kontrollaktivitäten dokumentieren Design und Wirksamkeit beurteilen Kontrolle dazu geeignet, das Prozessziel zu erreichen Kontrollen sind den Risiken entsprechend festgelegt Kontrollschwächen bestimmen und deren Auswirkung bewerten (Significant Deficiencies oder Material Weaknesses) Findings und Auswirkungen kommunizieren

43 Michael Schirmbrand Mai IT Controls – gemäß PCAOB IT controls in drei Ebenen IT Überlegungen im Kontrollumfeld (Planung, Organisation, Personal, …) Anwendungskontrollen (Application Controls) IT General Controls Management ist für Definition und Test von IT Kontrollen auf allen drei Ebenen verantwortlich Einsatz eines Control Frameworks, das sich an COSO orientiert, empfohlen

44 Michael Schirmbrand Mai Auswirkungen von Sarbanes Oxley Act auf die IT Massive Auswirkungen Kontrollen müssen dokumentiert und geprüft werden große Teile der Kontrollen in der IT (oft 50 bis 70 %) Im Regelfall mehrere hundert Kontrollen Wesentliche Kontroll-Schwachstellen sind oft in der IT Unterscheidung in Anwendungskontrollen und General IT Controls CobiT als Standard für General IT Controls anerkannt Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute

45 Michael Schirmbrand Mai IT General Controls – gemäß PCAOB IT General Controls sind Kontrollen, die zur Steuerung von IT Systemen und IT Prozessen im Einsatz sind. ITGCs sind für Risiken der folgenden Bereiche umzusetzen Zugriff zu Programmen und Daten Änderung von Programmen Entwicklung von Programmen Betrieb von IT End User Computing * * End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken

46 Michael Schirmbrand Mai ITGC und Anwendungskontrollen Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, die durch IT Systeme und Applikationen unterstützt werden Der Kernprozess ist üblicherweise für die Identifikation und Dokumentation der Kontrollen zuständig Beispiele für derartige Kontrollen Autorisierung Konfigurationen (zB Kontenpläne) Ausnahmereports (zB über erfolgte Bearbeitungen) SchnittstellenSystemzugriff Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Wirksamkeit von Anwendungskontrollen Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC automatisch unwirksam!

47 Michael Schirmbrand Mai SOX Zusammenfassung Fokussiert auf Finanzberichte Festlegung des IKS durch das Management Identifikation von Risiken und Prozessen Identifikation oder Neudefinition von entsprechenden Kontrollen Dokumentation der Prozesse und Kontrollen Regelmäßige Tests der Kontrollen durch das Management Design: Art der Kontrolle, Anordnung im Prozess Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Nachvollziehbarkeit der Durchführung von Kontrollen Einleitung und Umsetzung von Verbesserungsmaßnahmen

48 Michael Schirmbrand Mai Euro-SOX 8. EU-Audit Richtlinie wurde im Juni 2006 vom europäischen Parlament beschlossen Ist bis Juni 2008 in lokales Recht umzusetzen (dann keine Übergangsfrist) Das Funktionieren des Internen Kontrollsystems ist danach (jährlich) vom Prüfungsausschuss des Aufsichtsrates zu prüfen

49 49 Gesetze

50 Michael Schirmbrand Mai Gesetzestexte § 189 UGB: (2) Lesbarkeit (3) Inhaltsgleiche, vollständige, geordnete Wiedergabe (volle Aufbewahrungsfrist) § 131 BAO: (2) Zusammenhang zw. Buchungen und Belegen nachweisbar; Nachweis der Vollständigkeit und Richtigkeit (3) Datenträger können verwendet werden

51 Michael Schirmbrand Mai Aktiengesetz (AktG) Viele Bestimmungen, die zu Corporate Governance beitragen, zB § 81 Quartalsberichte und Jahresberichte an den Aufsichtsrat § 92 Ausschüsse für Jahresabschlusserstellung Vorstandsverantwortung für Corporate Governance wird derzeit in § 82 subsummiert: Der Vorstand hat dafür zu sorgen [...] dass ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht.

52 Michael Schirmbrand Mai GmbHG Bei großen GmbHs gelten die Bestimmungen des AktG über Aufsichtsräte sinngemäß. Die Verantwortung der Geschäftsführer für Corporate Governance wird in § 22 subsummiert: Die Geschäftsführer haben dafür zu sorgen...dass ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht.

53 Michael Schirmbrand Mai IT Compliance nahe Gesetze DatenschutzgesetzFernabsatzgesetzTelekommunikationsgesetz Signaturgesetz, Signaturverordnung eCommerce Gesetz eGovernment Gesetz Informationssicherheitsgesetz Emittenten Compliance Verordnung …

54 Michael Schirmbrand Mai DSG - Datensicherheit §14 (1/2) Maßnahmen zur Gewährleistung der Datensicherheit Schutz vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust ordnungsgemäße Verwendung Daten Unbefugten nicht zugänglich

55 Michael Schirmbrand Mai DSG Datensicherheit §14 (2/2) Aufgabenverteilung - Funktionstrennung im Unternehmen Gültige Aufträge vorhanden (Dokumentation!) Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften) Physische Zugriffssicherheit Logische Zugriffssicherheit Absicherung der Geräte gegen unbefugte Inbetriebnahme Protokollierung der Verwendungsvorgänge Dokumentation über die bisher aufgezählten Punkte: Richtlinien/Auditing/Maßnahmen

56 56 Standards für IT Governance

57 57 ITIL IT Infrastructure Library

58 Michael Schirmbrand Mai Incident Management Problem Management Change Management Release Management Continuity Management Availability Management Capacity Management Financial Management Service Level Management Security Management Configuration Management ITIL - IT Infrastructure Library

59 Michael Schirmbrand Mai ITIL – Komponenten (1/2) Planning to Implement Service Management Wesentliche Aufgaben in der Planung und Umsetzung von IT Service Management ICT Infrastructure Management NetzwerkmanagementBetriebsmanagement Installation von Systemen Application Management Softwareentwicklung mit Hilfe eines Lify-Cycle Ansatzes ITIL Security Management Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT Securit The Business Perspective Beziehungsmanagement zum Business Outsourcing Kontinuierliche Verbesserung

60 Michael Schirmbrand Mai ITIL – Komponenten (2/2) Service Support Service Desk Configuration Management Incident Management Problem Management Release Management Change Management Service Delivery Service Level Management Financial Management Capacity Management Availability Management IT Continuity Management

61 61 CobiT

62 Michael Schirmbrand Mai CobiT CobiT = Control Objectives for Information and Related Technology Prozessorientiertes Framework für die Steuerung von IT Prozessen Herausgegeben vom IT Governance Institute, früher ISACA Inhalt wird vom CobiT Steering Committee gesteuert und von Universitäten, Experten aus den Bereichen IT Management, Governance, Consulting und Audit entwickelt Orientiert sich an Unternehmenszielen und Unternehmenserfordernissen Werkzeug für Geschäftsführung, IT Management und IT Prozessmanager Basiert auf einer Vielzahl internationaler Standards Dokumente auf zum Download und als Bücher verfügbar

63 Michael Schirmbrand Mai Entwicklung von CobiT Governance Management Control Audit C OBI T 1C OBI T 2C OBI T 3C OBI T

64 Michael Schirmbrand Mai CobiT – Bestandteile IT Prozesse Control Objectives Control Practices Audit Guidelines Activity Goals Maturity Modelle Key Goal Indicators Key Performance Indicators Kerngeschäft AnforderungenInformation gesteuert durch realisiert durch übersetzt in geprüft durch effizient und effektiv durch gemessen durch für Output für Reife für Performance

65 Michael Schirmbrand Mai Vom Ziel zur Architektur Unternehmensziele für IT IT Ziele Unternehmens- architektur für IT bestimmen messen bestimmen IT Scorecard Unternehmens- und Governance- Erfordernisse

66 Michael Schirmbrand Mai Unternehmensziele für IT IT Ziele IT Prozesse Unterstützung durch CobiT

67 Michael Schirmbrand Mai Reifegradmodell (Maturity Model) 0.. Nicht existent 1.. Initial 2.. Wiederholbar 3.. Definiert 4.. Monitoringfunktionen 5.. Optimiert und Automatisiert 0.. Nicht existent 1.. Initial 2.. Wiederholbar 3.. Definiert 4.. Monitoringfunktionen 5.. Optimiert und Automatisiert Derzeitiger Status Internationaler Standard Strategisches Ziel Derzeitiger Status Internationaler Standard Strategisches Ziel Symbole Reifegrade Non-existent (nicht existent) Initial (initial) Repeatable (wiederholbar) Defined (definiert) Managed (gemanagt) Optimised (optimiert)

68 Michael Schirmbrand Mai Der IT Prozess nach CobiT INFORMATION Monitor and Evaluate Deliver and Support Acquire and Implement Plan and Organise Effizienz Effektivität Vertraulichkeit Integrität Verfügbarkeit Compliance Verlässlichkeit Anwendungen Information Infrastruktur Personal IT RESSOURCEN

69 Michael Schirmbrand Mai IT-Prozesse nach CobiT Information Monitor and Evaluate Deliver and Support Acquire and Implement Plan and Organise PO1Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. AI1Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. DS1 Define and manage service levels. DS2 Manage third-party services. DS3Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance.

70 Michael Schirmbrand Mai Bestandteile von Prozessen Prozessbeschreibung Domäne und Information Resources IT Ziele Prozessziele wichtige Aktivitäten wichtige Metriken IT Governance & IT Resources

71 Michael Schirmbrand Mai Bestandteile von Prozessen RACI-Chart zur Darstellung der Verantwortlichkeiten, zB Inputs und Outputs, zB

72 Michael Schirmbrand Mai Bestandteile von Prozessen Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zB

73 Michael Schirmbrand Mai Bestandteile von Prozessen Prozessspezifisches Reifegradmodell, zB

74 Michael Schirmbrand Mai Bestandteile von Prozessen 214 Detaillierte Control Objectives, zB:

75 Michael Schirmbrand Mai Started in 2003 Integration of Standards Update of CobiT CobiT Mapping Project Further mappings In progress TOGAF (Architecture) COSO ERM GBPM On our radar ITIL v3 FFEIC (US banking) NIAC (Insurance) NIST SP FISMA IAIS Framework (Solvency II) HIPAA (Health Insurance) GLBA (Privacy) ISO (SW Asset Mgmt) ISO (Service Mgmt) ISO (Risk Mgmt) ISO (ISO17799)

76 76 ValIT

77 Michael Schirmbrand Mai The Fundamental Question Are we managing our investments in IT such that: we are getting optimal value; we are getting optimal value; at an affordable cost; and at an affordable cost; and with an acceptable level of risk? with an acceptable level of risk?

78 Michael Schirmbrand Mai The strategic question. Is the investment: In line with our vision? Consistent with our business principles? Contributing to our strategic objectives? Providing optimal value, at affordable cost, at an acceptable level of risk? In the value question. Do we have: A clear and shared understanding of the expected benefits? Clear accountability for realising the benefits? Relevant metrics? An effective benefits realisation process? The architecture question. Is the investment: In line with our architecture? Consistent with our architectural principles? Contributing to the population of our architecture? In line with other initiatives? The delivery question. Do we have: Effective and disciplined delivery and change management processes? Competent and available technical and business resources t deliver: the required capabilities; and the organisational changes required to leverage the capabilities. Some fundamental questions about the value delivered by IT The Four Ares - continually asking…

79 Michael Schirmbrand Mai A New Perspective IT Investments Investments in IT-enabled Change

80 Michael Schirmbrand Mai Projects, Programmes and Portfolios PortfolioManagement ProgrammeManagement ProjectManagement Programme – a structured grouping of projects designed to produce clearly identified business value Project – a structured set of activities concerned with delivering a defined capability based on an agreed schedule and budget Portfolio – a suite of business programmes managed to optimise overall enterprise value

81 Michael Schirmbrand Mai Val IT Principles IT-enabled investments will be managed as a portfolio of investments. IT-enabled investments will be managed as a portfolio of investments. IT-enabled investments will include the full scope of activities that are required to achieve business value. IT-enabled investments will include the full scope of activities that are required to achieve business value. IT-enabled investments will be managed through their full economic life cycle. IT-enabled investments will be managed through their full economic life cycle. Value delivery practices will recognise that there are different categories of investments that will be evaluated and managed differently. Value delivery practices will recognise that there are different categories of investments that will be evaluated and managed differently. Value delivery practices will define and monitor key metrics and will respond quickly to any changes or deviations. Value delivery practices will define and monitor key metrics and will respond quickly to any changes or deviations. Value delivery practices will engage all stakeholders and assign appropriate accountability for the delivery of capabilities and the realisation of business benefits. Value delivery practices will engage all stakeholders and assign appropriate accountability for the delivery of capabilities and the realisation of business benefits. Value delivery practices will be continually monitored, evaluated and improved. Value delivery practices will be continually monitored, evaluated and improved.

82 Michael Schirmbrand Mai ValIT Processes & Key Management Practices

83 Michael Schirmbrand Mai Val IT Framework - Detail Domain: Value Governance (VG) ProcessCobiTRACI Chart DescriptionKey Management PracticesCross Ref.ExecBusIT CRAPrimary: PO1.1, ME3.1- 3, ME3.3 Secondary: ME3.2 VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount- abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities and controlling the costs should be clearly assigned and monitored. CRAPrimary: PO4.6, PO4.15 Secondary: PO4.8, PO4.9 VG3 Define roles & responsibilities Define and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand services to allow sufficient authority to exercise the role andresponsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship; programme management; project management; and associated support roles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise. CRAPrimary: PO4.1, ME1.1, ME1.3, ME3.1 Secondary: PO5.2-5, PO10.2 VG2 Define and implement processes Define, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT- enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocationconsis-tent with the priorities; stage-gating of invest- mentprogrammes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services. CCA,RPrimary: PO1.2, PO4.4, ME3.1, ME3.2 VG1 Ensure informed and committed leadership The reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a soundunderstand- ingof strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated. Establish governance, monitoring and control framework Establish Strategic Direction Establish portfolio characteristics

84 84 ISO/IEC 17799:2005

85 Michael Schirmbrand Mai ISO/IEC 17799:2005 Historie: CoP for Security Management BS7799 Part 1 ISO 17799:2000 Zukünftig: ISO/IEC 2700x-Familie Best Practice für Informations-Sicherheit Herausgegeben von der ISO Zeitweise im Konflikt mit BSI - Grundschutzhandbuch Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)

86 86 Integration von Standards

87 Integrating Application Mgmt. & Service Mgmt. 87 COBIT IT OPERATIONS IT Governance Quality Systems & Frameworks Service Mgmt. App. Dev. (SDLC) Project Mgmt. IT Planning IT Security Quality System IT Governance Model COSO ITIL BS 7799 PMI ISO Six Sigma TSO IS Strategy ASL CMM Sarbanes Oxley US Securities & Exchange Commission

88 Michael Schirmbrand Mai Gartners Advise Combine CobiT and ITIL for Powerful IT Governance Strong framework tools are essential for ensuring IT resources are aligned with an enterprises business objectives, and that services and information meet quality, fiduciary and security needs. Bottom Line: CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT governance, control and best-practice framework in IT service management. Enterprises that want to put their ITIL program into the context of a wider control and governance framework should use CobiT. Source: Technical Guidelines, TG , S.Mingay, S. Bittinger

89 Michael Schirmbrand Mai Forrester Quotes (Jan ) Establish frameworks to ease Governance Implementation First CobiT for overall governance Then ITIL for service delivery and management Then ISO for information security Balanced Scorecard for measurement and communication Source: Forrester Helping Business Thrive On Technology Change A Road Map To Comprehensive IT Governance by Craig Symons

90 Michael Schirmbrand Mai Potential CobiT & ITIL Stakeholder CobiT ITIL

91 Michael Schirmbrand Mai Ausblick Die Zeit ist reif Für nachvollziehbare und messbare IT Prozesse Einhaltung internationaler Standards Interne Kontrollsysteme auch in der IT Die Umsetzung erfordert (hohen) Aufwand Nutzen ist auch kurzfristig zu erzielen (ROI hoch) Professionelle Unterstützung empfehlenswert – besonders auch mit Prüfungs- und Kontroll – Know How

92 Michael Schirmbrand Mai IT – Governance – Services der KPMG Quick Assessments Detailbeurteilungen Gesamthafte Einführung von IT Governance Definition und Umsetzung von Verantwortlichkeiten und Rollen Erarbeitung von IT-Strategien Nachweisbare, nutzenorientierte Ausrichtung der IT an den Unternehmenszielen Gestaltung der IT- Prozesse unter Umsetzung von CobiT und Gestaltung des Internen Kontrollsystems in der IT Erhöhung des Reifegrades der IT-Prozesse Integration von ITIL, CMM, ISO 17799,… Benchmarking IT Due Diligence

93 Michael Schirmbrand Mai Kontakt – Dr. Michael Schirmbrand Partner of KPMG Austria Head of the service line Information Risk Management of KPMG Austria CPA / PhD Chairman of the board of ISACA Austria CISA - Certified Information Systems Auditor CISM – Certified Information Security Manager Chairman of the IT committee of the Austrian Chamber of Public Accountants Member of the worldwide CobiT Steering Committee Member of the Steering Committee of the IT Governance Institute Author of publications about IT Governance, IT Security und IT Audits as well as several professional articles. Lecturer at Austrian Universities


Herunterladen ppt "Dr Michael Schirmbrand Mai 2007 BUSINESS ADVISORY SERVICE INFORMATION RISK MANAGEMENT Standards für IT - Audit und IT - Governance."

Ähnliche Präsentationen


Google-Anzeigen