Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte Round Table Zürich, 2. September 2004.

Ähnliche Präsentationen


Präsentation zum Thema: "© 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte Round Table Zürich, 2. September 2004."—  Präsentation transkript:

1 © 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte Round Table Zürich, 2. September 2004

2 2 © 2004 KPMG Information Risk Management Vielen Dank für Ihr Interesse! Alea Europe AG Axpo Informatik Basler Kantonalbank cosba private banking ag Die Mobiliar Direktion für Entwicklung und Zusammenarbeit Eidgenössische Finanzkontrolle Immobit AG Kühne & Nagel Management Migros Genossenschaftsbund Migrosbank Raiffeisen Informatik AG Robert Bosch AG SBB AG Swiss Life Telekurs UBS AG Unisys (Schweiz) AG Zühlke Engineering AG Zürich Financial Services Zürcher Kantonalbank

3 3 © 2004 KPMG Information Risk Management Der Verantwortungsbereich Ihrer Gesprächskollegen Geschäftsführung Informatikleitung IT Risk Management IT Security Interne Revision Project Office Projektleitung Qualitätssicherung

4 4 © 2004 KPMG Information Risk Management Vorstellung des Gastreferenten Dr. Ernest Wallmüller Geschäftsführer von Qualität & Informatik Tel.: 01 / Handy: Coaching im Projekt- und Prozess-Management Univ. Dozent für Wirtschaftsinformatik Audit und Assessment von verschiedenen Standards: -- ISO 9001, EFQM, TPI, CMMI, SPICE/ISO15504 Autor zahlreicher Publikationen: -- Risikomanagement für IT- und Software-Projekte (2004, Hanser Verlag) --Software-Qualitätsmanagement in der Praxis (2001, Hanser Verlag) Qualität & Informatik Haslernstrasse Geroldswil

5 5 © 2004 KPMG Information Risk Management Ihre Ansprechpartner bei KPMG S. Lustenberger Assistant Tel.: kpmg.com KPMG Fides Peat Badenerstrasse 172 CH-8026 Zürich 4 Marco Grüter Senior Consultant Tel.: Thomas Sutter Senior Manager Tel.: Ralf Ploner Senior Manager Tel.: Gerhard Wasnick Senior Consultant Tel.: kpmg.com Gregor Frey Partner Tel.:

6 6 © 2004 KPMG Information Risk Management Inhaltsverzeichnis No Risk- no business (fun) Grundlagen Risiken in Unternehmen Gefahren bei Software-Projekten und -Produkten Prozesse, Techniken und Hilfsmittel Methodische Grundaufgaben Fallstudie Einführung von Risikomanagement und Risikomanagementprozessen Zusammenfassung und Ausblick

7 7 © 2004 KPMG Information Risk Management KPMG Expertenbeiträge Operational Risk Management und der Impact von Basel II für die Finanzdienstleister Stefan Ritsch Vertrauen dank der Informations- sicherheitsnorm BS (ISO 17799) Reto P. Grubenmann Management des Projekt-portfolios - Die Kunst, das Richtige richtig zu tun, Ralf Ploner Stakeholder Management - Richtiger Umgang mit Menschen und Erwartungen Ralf Ploner

8 8 © 2004 KPMG Information Risk Management Agenda Eingangsreferat –IT-Risikomanagement: Status Quo & Trends –IT-Risikomanagement-Organisation –Risiken in IT- und Software-Projekten –IT-Risikomanagement-Tools & -Frameworks –Zusammenfassung & Fragen für die Diskussion Moderierte Diskussion –Gruppe A –Gruppe B Apéro18.00

9 9 © 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte im Kontext zum KPMG Information Risk Management Information Risks Technology Processes Projects Project Risk Management Risk & Quality Management, Project Management, Board Coaching, External Project Management Project Risk Management Risk & Quality Management, Project Management, Board Coaching, External Project Management Review, Hacking, Penetration Tests, User Mgmt., Single Sign On, Information Systems Audit, Web Trust Certification Costs & Performance Management Service Level Mgmt., Cost Reduction, Outsourcing Management Costs & Performance Management Service Level Mgmt., Cost Reduction, Outsourcing Management Software Evaluation & Migration Controlling SAP, CRM, Windows 2000,... Software Evaluation & Migration Controlling SAP, CRM, Windows 2000,... Process Risk Management (ITIL, COBIT) Engineering, Customer - Supplier, Management Processes Process Risk Management (ITIL, COBIT) Engineering, Customer - Supplier, Management Processes IT & Information Security Architecture Definition IS Audit & Certification BS7799, SPICE, Systems (SAP, Abacus), PKI IS Audit & Certification BS7799, SPICE, Systems (SAP, Abacus), PKI Business Continuity Planning Project Portfolio Evaluation Project Risk Assessment IT Risk Assessment & Benchmarks Assess Reduce Monitor

10 10 © 2004 KPMG Information Risk Management Der Reifegrad in Schweizer Unternehmen Quelle: KPMG Studie Risikomanagement % der Unternehment verfügen über ein umfassendes & integrier- tes Risikomanagement- system Viele Komponenten des RM-Systems sind zwar vorhanden aber nur teilweise dokumentiert und noch weniger häufig kommuniziert

11 IT-Risikomanagement: Status-Quo & Trends Ralf Ploner

12 12 © 2004 KPMG Information Risk Management Status Quo: Die Top-IT-Risiken des Jahres 2003 Quelle: KPMG-Studie IT Management 2003 Grösste Risiko-Konzentration im Bereich IT-Management: IT-Planung & -Controlling, Projekt- & Projektportfoliomanagement, IT-Risikomanagement Wenige Risiken im Bereich der Technik identifiziert; der technische Zustand der IT wird als solide eingeschätzt

13 13 © 2004 KPMG Information Risk Management Welche Risiken entstanden durch die Kostenbremse? Quelle: KPMG-Studie IT Management 2003 Die IT-Sicherheit bleibt unangetastet

14 14 © 2004 KPMG Information Risk Management Das Risiko der Markterholung: Projektstau Quelle: KPMG-Studie IT Management 2003 Zunahme der Projektbudgets 2003 im Durchschnitt um 3% Zunahme des Projektstaus im Durchschnitt um 27%; bei Unternehmen mit IT-Budget-Reduktionen um 40% 2003: Zunahme der Anzahl Projekte in Arbeit um 23% bei Unternehmen mit IT-Budget-Erhöhungen

15 15 © 2004 KPMG Information Risk Management Status-Quo im Handelssektor Quelle: KPMG IT Risk Management Benchmarking Business focus Dependence on IT Dependence on IT Internal staff Dependence on 3rd parties Reliability of IT Systems Changes to IT Regulatory environment Information Assets 1st Quartile 2nd Quartile 3rd Quartile 4th Quartile Firma

16 16 © 2004 KPMG Information Risk Management Status-Quo im Handelssektor Beispiel einer Bedrohungsanalyse Business focus Dependence on IT Dependence on IT Internal staff Dependence on 3rd parties Reliability of IT Systems Changes to IT Regulatory environment Information Assets 1st Quartile 2nd Quartile 3rd Quartile 4th Quartile Firma Bus. led IT Strategy Board IT awareness Current needs vs IS Functionality

17 17 © 2004 KPMG Information Risk Management Status-Quo im Handelssektor Quelle: KPMG IT Risk Management Benchmarking Management of IT Project and Change Management IT Operations Continuity of Systems Control Assurance 1st Quartile 2nd Quartile 3rd Quartile 4th Quartile Firma Security of Information and Systems

18 18 © 2004 KPMG Information Risk Management Status-Quo im Handelssektor Beispiel einer IT-Kontrollanalyse Management of IT Project and Change Management IT Operations Continuity of Systems Control Assurance 1st Quartile 2nd Quartile 3rd Quartile 4th Quartile Firma Security of Information and Systems Senior Mgmt involvement IT Planning Cost management Management reporting Service Level Mgmt Legal Compliance Organisation of IT End User Computing Outsourcing

19 19 © 2004 KPMG Information Risk Management Konzentration auf die Nettorisiken

20 20 © 2004 KPMG Information Risk Management Trends und die Konsequenzen für den IT-Leiter Es bestehen Nachholbedürfnisse im Projektgeschäft Die hochstehenden Erwartungshaltungen der Geschäftsleitungen bezüglich der IT-Leistungserbringung sowie deren Kosten werden zukünftig noch höher geschraubt Dies fordert den IT-Leiter bezüglich: –seiner unternehmerischen Rolle mit guter Chancen/Risiko-Balance –exakter strategischer IT-Planung –Moderation des Projektportfoliomanagement-Prozesses –effektivem Nutzen der relevanten IT-Führungsinformationen –aktiver Beteiligung an der Unternehmensentwicklung (Geschäfts- prozess-Kenner mit dem notwendigen Technologie-Know-how) –Vorantreiben von sinnvollen Standardisierungen

21 IT-Risikomanagement- Organisation Ralf Ploner

22 22 © 2004 KPMG Information Risk Management Die Positionierung von IT Risk Management Information Informatik Security Risk-Management IT Security Management Information Security IT Risk Management Information Risk Management Qualität Ordnungs- mässigkeit Geschäft

23 23 © 2004 KPMG Information Risk Management Reporting Koordination Group CEO Linie / IT-Leiter Internal Audit OperationalIT Group CFO Kandidaten für das IT Risk Management External Audit Risk / Assurance Manager Board of Directors Nomination und Compensation Committee Audit Committee IT-Security- manager

24 24 © 2004 KPMG Information Risk Management Der Risikomanagementprozess Einsatz von Benchmarking: –Awareness aufzubauen –Investitionsgrundlagen zu schaffen –Risiken zu erkennen –RM-Organisation und Prozesse anzustossen Einsatz von Benchmarking: –Awareness aufzubauen –Investitionsgrundlagen zu schaffen –Risiken zu erkennen –RM-Organisation und Prozesse anzustossen Risikomanagement- prozess Risiko- Monitoring Verbesserung des Risiko- managements Risikomanage- ment-Strategie Risiken erkennen und bewerten Untenehmensziele Informationen Ergebnisse

25 25 © 2004 KPMG Information Risk Management Zusammenspiel Chancen- und Risikomanagement Welche Unternehmerischen Chancen lassen wir ungenutzt? Welche IT-Risiken bedingen Rückstellungen? Welche Projekte reduzieren die Risiken und sind somit eine Chance? Welche Chancen behandeln wir im Projektportfolio? Welche Risiken beeinflussen die Priorisierung der Projekte? Lösen die Projekte neue Sicherheitsrisiken aus? Wie machen wir die Erfolgskontrolle?

26 Risiken in IT- und Software-Projekten Dr. Ernest Wallmüller

27 27 © 2004 KPMG Information Risk Management Warum Risikomanagement? NASA took consequences from the Columbia Disaster : Manager fired! Washington: NASA boss Sean O'Keefe will renew the (risk) culture of the agency The final report says: –Missing risk awareness and –lacking moral courage of employees Don´t forget: Swissair, Enron, KirchGruppe, Toll-Collect, SV-Chipkarte and others 7 crew members died on February, 1st 2003

28 28 © 2004 KPMG Information Risk Management Risk Spider Chart in NASA Programs: Essential Program Elements Consequence of Resource Limits Risk Management Approach Communication Requirement Definition Information Transfer Controlled Process Planning Level of Technology Readiness Experience Level of Team Design to Cost Visibility of Project Activities Extensive, Peer & Independent Reviews Limited Reviews, Project Internal Proven Team OJT TRL 5-6 TRL 1-3 Existing Extensive, Up-Front Reactive Clear, Fixed, Parent-Child Developed as Needed, Free Float Dynamic, Interactive Team Operation Cohesive, Authority Widely Dispersed, Controlled Performance is a Tradable Resource Result of Technical / Schedule Activity Lowest Risk

29 29 © 2004 KPMG Information Risk Management

30 30 © 2004 KPMG Information Risk Management Gängige Risiko-Bereiche Barry Boehm, Software Risk Management Personelles-Versagen Unrealistische Zeitpläne und Budgets Fortlaufende Anforderungsänderungen und unsichere Anforderungen Sich ändernde und unsichere Technologien Entwicklung der falschen Funktionen Entwicklung falscher Benutzer-Schnittstellen Vergolden Versagen von extern bezogenen Komponenten und Leistungen Überschätzen der IT-Fähigkeiten Nicht das Problem lösen

31 31 © 2004 KPMG Information Risk Management Gängige Risiko-Bereiche Where to look for risks? Objects to Inspect: –Project scope –Project schedule –Project management plan –Request for proposal / Proposal / Contract –Work Breakdown Structure (WBS) –Statements of work –Technical specifications –Budgets –Organizational Breakdown Structure / Resource Plans –Deviations from standards

32 32 © 2004 KPMG Information Risk Management Risk Management Process Risk Assessment –Identification - Listing the risks –Analysis - Determining the probabilities and impacts –Prioritization - Ranking the risks for action Risk Control –Planning - Determining how & when to take action –Resolution - Taking risk mitigation action –Monitoring - Measuring the outcome Risk Reporting Risk Control Planning Resolution Monitoring Risk Assessment Identification Analysis Prioritization Risk Reporting Risk Management

33 33 © 2004 KPMG Information Risk Management Risk Assessment (Identification & Analysis) Risiko-Bewertungstabelle

34 34 © 2004 KPMG Information Risk Management Risk Assessment (Prioritization) Priorisieren durch Risikoziffer

35 35 © 2004 KPMG Information Risk Management Risk Control Risk reduction stair – ON Remaining project risks (after risk transfer) avoid mitigate limit transfer accept Risk reduction using project steering measures Remaining project risks (after risk limitation) Remaining Project risks (after risk mitigation) Remaining Project risks (after risk avoidance) Identified project risks (without risk response) Risiko- akzeptanz

36 36 © 2004 KPMG Information Risk Management Beispiel Risk portfolio - DaimlerChrysler

37 IT-Risikomanagement- Tools und -Frameworks Dr. Ernest Wallmüller

38 38 © 2004 KPMG Information Risk Management Kontrollumfeld Risikoanalyse Risikobewältigung mit System Risikopolitik Risikostrategie Organisation und Prozesse Information und Kommunikation Externe Einflüsse Kunden Aktionäre Gesetze Behörden Interne Stakeholder Verwaltungsrat Geschäftsleitung Management Mitarbeiter Governance im Sinne von angemessener Unternehmensorganisation und -steuerung um Wertschöpfung langfristig zu sichern Governance

39 39 © 2004 KPMG Information Risk Management ON-Regel Risikomanagement für Organisationen, Produkte, Dienstleistungen und Projekte Begriffe und Grundlagen ON-Regel Leitfaden für das Risikomanagement ON-Regel Leitfaden für die Einbettung des Risikomanagements in ein integriertes Management-System ON-Regel Elemente des Risikomanagement-Systems ON-Regel Qualifikation des Risikomanagers Qualification of the risk manager Guideline: Integration of risk management in an integrated management system Elements of the risk management system Terms and basics Guideline for the risk management Standard ON for Austria and Switzerland

40 40 © 2004 KPMG Information Risk Management L A B C E F G H IO M K N D Unbedeutend gering Spürbar kritisch katastrophal häufig möglich selten sehr selten unwahrscheinlich Risikobeurteilung / Risikolandschaft ONR

41 41 © 2004 KPMG Information Risk Management Australian Standard Risk Management Process - AS/NZS 4360:1999

42 42 © 2004 KPMG Information Risk Management ÜberwachungBetrieb Implemen- tation Planung und Organisation Phasen- orientiert Managementorientiert IT Grundschutz (BSI) BS 7799/ISO CMMI ITIL DSG StGB COSOCOBIT Legende: COSO=Committee of Sponsoring Organisations of the Tradeway Commission COBIT=Control Objectives for Information and related Technology DSG=Datenschutzgesetz StGB=Strafgesetzbuch CMM=Capability Maturity Model ITIL=IT Infrastructure Library Positionierung gängiger Rahmenwerke

43 43 © 2004 KPMG Information Risk Management CMMI Staged Representation Requirements Management Project Planning Project Monitoring and Control Supplier Agreement Management Measurement and Analysis Product & Process Quality Assurance Configuration Management Requirements Development Technical Solution Product Integration Verification Validation Organizational Process Focus Organizational Process Definition Organizational Training Integrated Project Management Risk Management Decision Analysis and Resolution Organizational Process Performance Quantitative Project Management Organization Innovation & Deployment Causal Analysis and Resolution Level 2 Managed Level 3 Defined Level 4 Quantitatively Managed Level 5 Optimizing Level 1 Performed

44 44 © 2004 KPMG Information Risk Management For Both Software and Systems Engineering Risk Management must be institutionalized at Level 3 Organizational policy Define process Plan Adequate resources Assigned responsibility Training Configuration management Identify and involve relevant stakeholders Monitor and control Collect improvement information Objectively evaluate adherence Review status with higher-level management Risk Management must be implemented at Level 3 Determine risk sources and categories Define risk parameters Establish a risk management strategy Identify risks Evaluate, classify and prioritize risks Develop risk mitigation plans Implement risk mitigation plans

45 45 © 2004 KPMG Information Risk Management FunktionBeschreibung Identifizieren Suche und orte Risiken, bevor sie zu Problemen werden. VerfolgenÜberwache Risikoindikatoren und Vorsorge-/Vermeidungsmassnahmen. Analysieren Übersetze Risikodaten in Entscheidungsinformationen. Bewerte Auswirkungen, Wahrscheinlichkeit und Zeitrahmen, klassifiziere und priorisiere Risiken. PlanenTransformiere Risikoinformation in Entscheidungen und Vermeidungs- und Vorsorgemassnahmen und führe diese Aktionen durch. KontrollierenKorrigiere Abweichungen vom Risiko-Massnahmenplan. KommunizierenInformiere Projektinterne und -externe über Risikoaktivitäten, über akute sowie neu sich anbahnende Risiken. Hinweis: Kommunikation zieht sich quer durch alle RM-Funktionen. Kontrolliere Verfolge P lane Kommuniziere Identifiziere A nalysiere Kontinuierliches Risikomanagement (nach SEI,

46 46 © 2004 KPMG Information Risk Management Tools Risk Radar -- Software Program Managers Network –Risk management database to help project managers identify, prioritize, and communicate project risks RiskTrak - Risk Services & Technology –Allows an entire project team or organization to view, track, analyze and report on risks in real time CORA: Cost Of Risk Analysis System –Software-based risk management system

47 47 © 2004 KPMG Information Risk Management Umsetzungsempfehlungen –Früh mit RM beginnen –RM als iterativer Prozess während des ganzen Projektlebenszyklusses –Risiken als potentielle Chancen betrachten –Verantwortlichkeiten zuordnen (Prozess, jedes Risiko) –Projektstrukturplan (WBS) zur Risikoidentifikation beiziehen –Vorsorge-Fonds für Risiken einrichten –RM-Plan überwachen und nachführen –Das gesamte Projektteam in den Prozess involvieren

48 Zusammenfassung & Fragen für die Diskussion Gregor Frey

49 49 © 2004 KPMG Information Risk Management Fragen für die Diskussion Zur Provokation: –Ist Risikomanagement nur ein Modewort der Berater? –Leistet das Risikomanagement überhaupt einen Beitrag, um die Qualität in den Informatikprojekten nachhaltig zu verbessern? –Ist der Wert des Risikomanagements vorhanden und messbar? Timing: –Wann ist der richtige Moment, um das Risikomanagement in IT- Projekte zu involvieren? –Wie regelmässig ist die Situation neu zu hinterfragen?

50 50 © 2004 KPMG Information Risk Management Fragen für die Diskussion Verantwortlichkeit: –Wer ist verantwortlich für das IT-Risikomanagement? –Entstehen Reibungsverluste zwischen Audit-, IT-Security und Linienfunktion? Tools, Rahmenwerke und Good Practice: –Welche Tools sind für das IT-Risikomanagement die Richtigen? Grundlagen: –Welche Informationsquellen sind wichtiger: Menschen (Interviews) oder Dokumente (Projektergebnisse) –Welche Informationsquellen sind verlässlich, welche nicht?

51 Moderierte Diskussion


Herunterladen ppt "© 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte Round Table Zürich, 2. September 2004."

Ähnliche Präsentationen


Google-Anzeigen