Risikomanagement für IT- und Software-Projekte

Slides:



Advertisements
Ähnliche Präsentationen
Alexander Stuber & Partner
Advertisements

Weinviertel-Südmähren-Westslowakei
Cadastre for the 21st Century – The German Way
Service Oriented Architectures for Remote Instrumentation
PRESENTATION HEADLINE
Peter S. Niess Steinbeis-Europa-Zentrum
Vernetzung von Repositorien : DRIVER Guidelines Dr Dale Peters, SUB Goettingen 4. Helmholtz Open Access Workshop Potsdam, 17 Juni 2008.
Andreas Lill, Fujitsu Technology Solutions GmbH
E-Solutions mySchoeller.com for Felix Schoeller Imaging
Automated IT Change Planning
Managing the Transition from School-to-Work Empirical Findings from a Mentoring Programme in Germany Prof. i.V. Dr. Martin Lang.
R. Zankl – Ch. Oelschlegel – M. Schüler – M. Karg – H. Obermayer R. Gottanka – F. Rösch – P. Keidler – A. Spangler th Expert Meeting Business.
Enterprise Learning Considerations about the return of E-Learning and Certification Jürgen Nilgen Business Development Manager Microsoft Learning Solutions.
Herzlich Willkommen zum Informations-Forum: SAP Interoperabilität
INSURANCE AUDIT FINANCIAL SERVICES Risk margins: An area of conflict between accounting and supervision Joachim Kölschbach Vienna, October 2005.
Die Senatorin für Arbeit, Frauen, Gesundheit, Jugend und Soziales ESF-Verwaltungsbehörde Freie Hansestadt Bremen Hildegard Jansen, head of Unit labour.
Steinbeis Forschungsinstitut für solare und zukunftsfähige thermische Energiesysteme Nobelstr. 15 D Stuttgart WP 4 Developing SEC.
CCLVET Cross Cultural Learning and Teaching in Vocational Education and Training Kurzübersicht LEONARDO DA VINCI Transfer of Innovation AGREEMENT NUMBER.
Dr. M. Schlottke Common Description of Web Services Source: P. Gerbert, 2002 Web Services allow to establish B2B e-commerce on the fly Web Services allow.
Fakultät für informatik informatik 12 technische universität dortmund Optimizations Peter Marwedel TU Dortmund Informatik 12 Germany 2009/01/17 Graphics:
Qualitätssicherung von Software
Projekt steuern.
Änderungen bewerten Change_Request.doc Änderungen bewerten Projekt-
Das Integrierte EU-Projekt ORCHESTRA - Konzeption einer offenen Dienstearchitektur im Kontext der INSPIRE-Initiative Ulrich Bügel, Thomas Usländer, Fraunhofer.
Introduction to BOS Supplier Guidelines v6
POST MARKET CLINICAL FOLLOW UP
Fachabteilung 16A Überörtliche Raumplanung Cross border co-operation from the view of a public administration unit.
Deutsche Gesellschaft für Technische Zusammenarbeit GmbH Integrated Experts as interface between technical cooperation and the private sector – An Example.
Status eSciDoc Malte Dreyer eSciDoc Hauptaktivitäten in 2006 Abstimmung mit den Zielgruppen Funktionale Anforderungserhebung mit.
20:00.
Medical Universities‘ Teaching Staff Training in Bochum Germany
HAW Hamburg, CARPE 2011, Prof. Dr. Rüdiger Weißbach, Revision : Bridging the Communication Gap in IT Projects - Enabling Non-IT Professionals.
Politikberatung und internationale Organisationen Das Beispiel Commission on Population and Development der UN AK Migration-Integration-Minderheiten.
Case Study Session in 9th GCSM: NEGA-Resources-Approach
SAPERION Schulung Thema
Institut AIFB, Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Towards Automatic Composition of Processes based on Semantic.
René Bart, Head of Organization Service January 2013 platinn Service Organization 4 Stages Reference Process platinn is an initiative of the cantons of.
Sanjay Patil Standards Architect – SAP AG April 2008
News von Operations.
A good view into the future Presented by Walter Henke BRIT/SLL Schweinfurt, 14. November 2006.
Centre for Public Administration Research E-Government for European Cities Thomas Prorok
3rd Review, Vienna, 16th of April 1999 SIT-MOON ESPRIT Project Nr Siemens AG Österreich Robotiker Technische Universität Wien Politecnico di Milano.
© All rights reserved. Zend Technologies, Inc. Jan Burkl System Engineer, Zend Technologies Zend Server im Cluster.
| Basel Von der SharePoint Taskliste zum gemanagten Project in Project Server Luca Argentiero Solution Specialist Microsoft
Bundesamt für Wehrtechnik und Beschaffung THE COST EFFECTIVE DEVELOPMENT OF HLA FEDERATIONS FOR COMPUTER- ASSISTED EXERCISES (CAX) K. Pixius 23-Sep-02.
Neno Loje Berater & MVP für Visual Studio ALM und TFS (ehemals VSTS) Hochqualitative Produkte mit Visual Studio & TFS 2010.
2 Software Management SCRUM, Project Management, Quality Management, Business Analysis Innovation and Technology Management, Coaching, R&D Processes Quality.
INTAKT- Interkulturelle Berufsfelderkundungen als ausbildungsbezogene Lerneinheiten in berufsqualifizierenden Auslandspraktika DE/10/LLP-LdV/TOI/
States in the development of a new service During the development a service will pass through a chain of stages determining the service.
SIT-MOON ESPRIT Project Nr st Review, Brussels, 27th of April 1998 slide 1 Siemens AG Österreich Robotiker Technische Universität Wien Politecnico.
Cyber-Security und Datenschutz in der Cloud Wie passt das zusammen?
Berner Fachhochschule Hochschule für Agrar-, Forst- und Lebensmittelwissenschaften HAFL Recent activities on ammonia emissions: Emission inventory Rindvieh.
Ein Projekt des Technischen Jugendfreizeit- und Bildungsvereins (tjfbv) e.V. kommunizieren.de Blended Learning for people with disabilities.
Besuch Büro Nairobi 2. – 9. Februar 2014
BASIS - Balanced Scorecards and Strategic Management Information Systems for Public Administrations Björn Niehaves European Research Center for Information.
Digital Dashboard Toolkit 2001 SharePoint Portal Server released targeting portal market SharePoint Team Services (STS) released as free add-
© suXess - it-project & management consulting gmbh mariahilfer strasse 123/3, 1060 wien / austria, suXess - Services Project.
Platinn Service Organization 4 Stages Reference Process Workshop « Formalisierung des Coaching Prozesses Organisation » Freiburg, 5-6 Mai 2010 RB, PAG,
The ITIL Pilot Project You‘ll find out ... (Agenda):
ESSnet Workshop Conclusions.
3rd Review, Vienna, 16th of April 1999 SIT-MOON ESPRIT Project Nr Siemens AG Österreich Robotiker Technische Universität Wien Politecnico di Milano.
Developer Day Deep Dive into WinRT-Controls: FlipView, ListView, GridView and SemanticZoom Thomas Claudius Huber Principal Consultant, Trivadis AG
Schutzvermerk nach DIN 34 beachten 20/05/14 Seite 1 Grundlagen XSoft Lösung :Logische Grundschaltung IEC-Grundlagen und logische Verknüpfungen.
SAP AG 2001 Corporate HR, Franz Deitering SAPs Business Situation, Challenges and Implications for HR Claus Heinrich Member of the Executive Board, SAP.
Lehrstuhl für Waldbau, Technische Universität MünchenBudapest, 10./11. December 2006 WP 1 Status (TUM) Bernhard Felbermeier.
Technische Universität München 1 CADUI' June FUNDP Namur G B I The FUSE-System: an Integrated User Interface Design Environment Frank Lonczewski.
TUM in CrossGrid Role and Contribution Fakultät für Informatik der Technischen Universität München Informatik X: Rechnertechnik und Rechnerorganisation.
Structure of architecture documentation
1 Medienpädagogischer Forschungsverbund Südwest KIM-Studie 2014 Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.
Management System Regulatory Body Operator
 Präsentation transkript:

Risikomanagement für IT- und Software-Projekte Round Table Zürich, 2. September 2004 Information Risk Management © 2004 KPMG

Vielen Dank für Ihr Interesse! Mit Ihrem Interesse an dieser Veranstaltung beweisen Sie, dass Fragen der Reorganisation unabhängig von Ihrer Branche sehr gross ist. Ich bin überzeugt, dass wir in dieser Zusammensetzung eine für alle sehr befruchtende Diskussion führen werden Vielen Dank für Ihr Interesse! Alea Europe AG Axpo Informatik Basler Kantonalbank cosba private banking ag Die Mobiliar Direktion für Entwicklung und Zusammenarbeit Eidgenössische Finanzkontrolle Immobit AG Kühne & Nagel Management Migros Genossenschaftsbund Migrosbank Raiffeisen Informatik AG Robert Bosch AG SBB AG Swiss Life Telekurs UBS AG Unisys (Schweiz) AG Zühlke Engineering AG Zürich Financial Services Zürcher Kantonalbank Information Risk Management © 2004 KPMG

Der Verantwortungsbereich Ihrer Gesprächskollegen Mit Ihrem Interesse an dieser Veranstaltung beweisen Sie, dass Fragen der Reorganisation unabhängig von Ihrer Branche sehr gross ist. Ich bin überzeugt, dass wir in dieser Zusammensetzung eine für alle sehr befruchtende Diskussion führen werden Der Verantwortungsbereich Ihrer Gesprächskollegen Geschäftsführung Informatikleitung IT Risk Management IT Security Interne Revision Project Office Projektleitung Qualitätssicherung Information Risk Management © 2004 KPMG

Vorstellung des Gastreferenten Qualität & Informatik Haslernstrasse 14 8954 Geroldswil Vorstellung des Gastreferenten Dr. Ernest Wallmüller Geschäftsführer von Qualität & Informatik Tel.: 01 / 748 52 56 Handy: 079 402 44 11 E-Mail: wallmueller@itq.ch Coaching im Projekt- und Prozess-Management Univ. Dozent für Wirtschaftsinformatik Audit und Assessment von verschiedenen Standards: -- ISO 9001, EFQM, TPI, CMMI, SPICE/ISO15504 Autor zahlreicher Publikationen: -- Risikomanagement für IT- und Software-Projekte (2004, Hanser Verlag) -- Software-Qualitätsmanagement in der Praxis (2001, Hanser Verlag) Information Risk Management © 2004 KPMG

Ihre Ansprechpartner bei KPMG Ich möchte das Team vorstellen, welches Sie durch die Veranstaltung führen wird Herr Fredy Frei ... Herr Thomas Sutter Herr Stefan Ritsch Diese Herren werden in der Expertenrolle der anschliessenden Diskussion beiwohnen Moderiert werden die Diskussionen zum einen von Herrn ..., zum anderen von mir Mein Name ist Palf Ploner. Ich habe am 1. August letzten Jahres von Andersen zu KPMG gewechselt und leite das Competence Center Project Risk Management KPMG Fides Peat Badenerstrasse 172 CH-8026 Zürich 4 Ihre Ansprechpartner bei KPMG Gregor Frey Partner Tel.: 01 249 22 45 gfrey@kpmg.com Gerhard Wasnick Senior Consultant Tel.: 01 249 23 17 gerhardwasnick@ kpmg.com Ralf Ploner Senior Manager Tel.: 01 249 21 73 rploner@kpmg.com S. Lustenberger Assistant Tel.: 01 249 25 70 slustenberger@ kpmg.com Thomas Sutter Senior Manager Tel.: 01 249 22 18 tsutter@kpmg.com Marco Grüter Senior Consultant Tel.: 01 249 21 43 mgrueter@kpmg.com Information Risk Management © 2004 KPMG

Inhaltsverzeichnis No Risk- no business (fun) Grundlagen Risiken in Unternehmen Gefahren bei Software-Projekten und -Produkten Prozesse, Techniken und Hilfsmittel Methodische Grundaufgaben Fallstudie Einführung von Risikomanagement und Risikomanagementprozessen Zusammenfassung und Ausblick Information Risk Management © 2004 KPMG

KPMG Expertenbeiträge Operational Risk Management und der Impact von Basel II für die Finanzdienstleister Stefan Ritsch Vertrauen dank der Informations-sicherheitsnorm BS 7799-2 (ISO 17799) Reto P. Grubenmann Management des Projekt-portfolios - Die Kunst, das Richtige richtig zu tun, Ralf Ploner Stakeholder Management - Richtiger Umgang mit Menschen und Erwartungen Ralf Ploner Information Risk Management © 2004 KPMG

Agenda Eingangsreferat 16.00 -16.50 Zur Agenda: Im Anschluss an meine kurze Begrüssung wird Herr Stefan Ritsch und ich in das Thema IT in der Reorganisation einführen. Wir werden auf Beispiele, Erfahrungen und Konzepte eingehen. Er soll auch einige Impulse für die dann anschliessende Diskussion geben. Damit die Diskussionen in angemessener Grösse stattfinden können, teilen wir das Plenum auf 2 Diskussionstische auf. Sie sehen auf Ihrem Namensschild in der Ecke einen Buchstaben, welcher Ihre Gruppenzugehörigkeit angibt. Gruppe A wird anschliessend in Raum ... verschieben. Gruppe B ... Agenda Eingangsreferat 16.00 -16.50 IT-Risikomanagement: Status Quo & Trends IT-Risikomanagement-Organisation Risiken in IT- und Software-Projekten IT-Risikomanagement-Tools & -Frameworks Zusammenfassung & Fragen für die Diskussion Moderierte Diskussion 16.50 -18.00 Gruppe A Gruppe B Apéro 18.00 Information Risk Management © 2004 KPMG

Risikomanagement für IT- und Software-Projekte im Kontext zum KPMG Information Risk Management IT & Information Security Architecture Definition Assess Reduce Monitor Review, Hacking, Penetration Tests, User Mgmt., Single Sign On, Information Systems Audit, Web Trust Certification Process Risk Management (ITIL, COBIT) Engineering, Customer - Supplier, Management Processes Information Risks Technology Processes Projects IT Risk Assessment & Benchmarks BS7799, SPICE, Systems (SAP, Abacus), PKI IS Audit & Certification Business Continuity Planning Software Evaluation & Migration Controlling SAP, CRM, Windows 2000, ... Project Portfolio Evaluation Project Risk Assessment Project Risk Management Risk & Quality Management, Project Management, Board Coaching, External Project Management Costs & Performance Management Service Level Mgmt., Cost Reduction, Outsourcing Management Information Risk Management © 2004 KPMG

Der „Reifegrad“ in Schweizer Unternehmen Quelle: KPMG Studie „Risikomanagement 2004“ 30% der Unternehment verfügen über ein umfassendes & integrier-tes Risikomanagement-system Viele Komponenten des RM-Systems sind zwar vorhanden aber nur teilweise dokumentiert und noch weniger häufig kommuniziert Information Risk Management © 2004 KPMG

IT-Risikomanagement: Status-Quo & Trends Ralf Ploner

Status Quo: Die Top-IT-Risiken des Jahres 2003 Quelle: KPMG-Studie “IT Management 2003” Grösste Risiko-Konzentration im Bereich “IT-Management“: IT-Planung & -Controlling, Projekt- & Projektportfoliomanagement, IT-Risikomanagement Wenige Risiken im Bereich der Technik identifiziert; der technische Zustand der IT wird als solide eingeschätzt Information Risk Management © 2004 KPMG

Welche Risiken entstanden durch die “Kostenbremse” Welche Risiken entstanden durch die “Kostenbremse”? Quelle: KPMG-Studie “IT Management 2003” Die IT-Sicherheit bleibt unangetastet Information Risk Management © 2004 KPMG

Das Risiko der Markterholung: Projektstau Quelle: KPMG-Studie “IT Management 2003” Mit ausbleibendem unternehmerischem Erfolg werden die Projekte auf die Wartebank geschoben Dank verbessertem Projektportfoliomanagement ist es aber nicht zu einem „hysterischen“ Projektestreichen gekommen Bei denjenigen Unternehmen, welche transparente Verrechnungsmodelle zu den Projektleistungen führen, hat der Projektstau überproportional zugenommen Die Qualität im Projektmanagement ist gestiegen: weniger „Abenteuerlust“ und engeres Controlling sind die Gründe hierfür Es ist sinnvoll heute Aufträge an Dritte zu vergeben: das „Commitment zu Qualität“ ist mehr denn je vorhanden Zunahme der Projektbudgets 2003 im Durchschnitt um 3% Zunahme des Projektstaus im Durchschnitt um 27%; bei Unternehmen mit IT-Budget-Reduktionen um 40% 2003: Zunahme der Anzahl Projekte in Arbeit um 23% bei Unternehmen mit IT-Budget-Erhöhungen Information Risk Management © 2004 KPMG

Status-Quo im Handelssektor Quelle: KPMG IT Risk Management Benchmarking Business focus 5 1 2 3 4 Information Assets Dependence on IT Regulatory environment Dependence on IT Internal staff 1st Quartile 2nd Quartile 3rd Quartile 4th Quartile Firma Changes to IT Dependence on 3rd parties Reliability of IT Systems Information Risk Management © 2004 KPMG

Status-Quo im Handelssektor Beispiel einer Bedrohungsanalyse Bus. led IT Strategy Board IT awareness Current needs vs IS Functionality Business focus 5 1 2 3 4 Information Assets Dependence on IT Regulatory environment Dependence on IT Internal staff 1st Quartile 2nd Quartile 3rd Quartile 4th Quartile Firma Changes to IT Dependence on 3rd parties Reliability of IT Systems Information Risk Management © 2004 KPMG

Security of Information and Systems Status-Quo im Handelssektor Quelle: KPMG IT Risk Management Benchmarking Management of IT 1 2 3 4 5 Control Assurance Project and Change Management Continuity of Systems IT Operations 1st Quartile 2nd Quartile 3rd Quartile 4th Quartile Firma Security of Information and Systems Information Risk Management © 2004 KPMG

Status-Quo im Handelssektor Beispiel einer IT-Kontrollanalyse Senior Mgmt involvement IT Planning Cost management Management reporting Service Level Mgmt Legal Compliance Organisation of IT End User Computing Outsourcing Management of IT 1 2 3 4 5 Control Assurance Project and Change Management Continuity of Systems IT Operations 1st Quartile 2nd Quartile 3rd Quartile 4th Quartile Firma Security of Information and Systems Information Risk Management © 2004 KPMG

Konzentration auf die Nettorisiken Information Risk Management © 2004 KPMG

Trends und die Konsequenzen für den IT-Leiter Es bestehen Nachholbedürfnisse im Projektgeschäft Die hochstehenden Erwartungshaltungen der Geschäftsleitungen bezüglich der IT-Leistungserbringung sowie deren Kosten werden zukünftig noch höher geschraubt Dies fordert den IT-Leiter bezüglich: seiner unternehmerischen Rolle mit guter Chancen/Risiko-Balance exakter strategischer IT-Planung Moderation des Projektportfoliomanagement-Prozesses effektivem Nutzen der relevanten IT-Führungsinformationen aktiver Beteiligung an der Unternehmensentwicklung (Geschäfts-prozess-Kenner mit dem notwendigen Technologie-Know-how) Vorantreiben von sinnvollen Standardisierungen Information Risk Management © 2004 KPMG

IT-Risikomanagement- Organisation Ralf Ploner

Die Positionierung von IT Risk Management Qualität Ordnungs- mässigkeit Security IT Security Management IT Risk Management Informatik Information Information Risk Management Information Security Geschäft Information Risk Management © 2004 KPMG

„Kandidaten“ für das IT Risk Management Board of Directors Nomination und Compensation Committee Audit Committee Group CEO Group CFO Linie / IT-Leiter Risk / Assurance Manager External Audit IT-Security- manager Internal Audit Reporting Koordination Operational IT Information Risk Management © 2004 KPMG

Der Risikomanagementprozess Einsatz von Benchmarking: Awareness aufzubauen Investitionsgrundlagen zu schaffen Risiken zu erkennen RM-Organisation und Prozesse anzustossen Untenehmensziele Risiken erkennen und bewerten Verbesserung des Risiko-managements Informationen Ergebnisse Risikomanage-ment-Strategie Risiko- Monitoring Risikomanagement- prozess Information Risk Management © 2004 KPMG

Zusammenspiel Chancen- und Risikomanagement Welche Unternehmerischen Chancen lassen wir ungenutzt? Welche IT-Risiken bedingen Rückstellungen? Welche Projekte reduzieren die Risiken und sind somit eine Chance? Welche Chancen behandeln wir im Projektportfolio? Welche Risiken beeinflussen die Priorisierung der Projekte? Lösen die Projekte neue Sicherheitsrisiken aus? Wie machen wir die Erfolgskontrolle? Information Risk Management © 2004 KPMG

Risiken in IT- und Software-Projekten Dr. Ernest Wallmüller

Warum Risikomanagement? “NASA took consequences from the Columbia Disaster : Manager fired!” “Washington: NASA boss Sean O'Keefe will renew the (risk) culture of the agency“ „The final report says: Missing risk awareness and lacking moral courage of employees” Don´t forget: Swissair, Enron, KirchGruppe, Toll-Collect, SV-Chipkarte and others 7 crew members died on February, 1st 2003 Information Risk Management © 2004 KPMG

Risk Spider Chart in NASA Programs: Essential Program Elements Visibility of Project Activities Experience Level of Team Level of Technology Readiness TRL 1-3 OJT Limited Reviews, Project Internal TRL 5-6 Proven Team Extensive, Peer & Independent Reviews Design to Cost Existing Result of Technical / Schedule Activity Lowest Risk Planning Extensive, Up-Front Performance is a Tradable Resource Reactive Cohesive, Authority Clear, Fixed, Parent-Child Controlled Process Dynamic, Interactive Widely Dispersed, Controlled Developed as Needed, Free Float Team Operation Requirement Definition Consequence of Resource Limits Information Transfer Communication Risk Management Approach Information Risk Management © 2004 KPMG 39

Low Risk / Single Weakness High Risk / Multiple Strengths & Weaknesses Communication Requirements Planning TRL Experience Cost Visibility Team Low Risk Profile High Risk Profile Low Risk / Single Weakness High Risk / Multiple Strengths & Weaknesses Information Risk Management © 2004 KPMG 40

Gängige Risiko-Bereiche Barry Boehm, Software Risk Management Personelles-Versagen Unrealistische Zeitpläne und Budgets Fortlaufende Anforderungsänderungen und unsichere Anforderungen Sich ändernde und unsichere Technologien Entwicklung der falschen Funktionen Entwicklung falscher Benutzer-Schnittstellen Vergolden Versagen von extern bezogenen Komponenten und Leistungen Überschätzen der IT-Fähigkeiten Nicht das Problem lösen Information Risk Management © 2004 KPMG

Gängige Risiko-Bereiche “Where to look for risks?” Objects to Inspect: Project scope Project schedule Project management plan Request for proposal / Proposal / Contract Work Breakdown Structure (WBS) Statements of work Technical specifications Budgets Organizational Breakdown Structure / Resource Plans Deviations from standards Information Risk Management © 2004 KPMG

Risk Management Process Risk Assessment Identification - Listing the risks Analysis - Determining the probabilities and impacts Prioritization - Ranking the risks for action Risk Control Planning - Determining how & when to take action Resolution - Taking risk mitigation action Monitoring - Measuring the outcome Risk Reporting Risk Assessment • Identification • Analysis • Prioritization Risk Control • Planning • Resolution • Monitoring Risk Management Risk Reporting Information Risk Management © 2004 KPMG

Risk Assessment (Identification & Analysis) Risiko-Bewertungstabelle Information Risk Management © 2004 KPMG

Risk Assessment (Prioritization) Priorisieren durch Risikoziffer Information Risk Management © 2004 KPMG

Risk Control Risk reduction stair – ON-49000 avoid Identified project risks (without risk response) mitigate Remaining Project risks (after risk avoidance) limit Remaining Project risks (after risk mitigation) Remaining project risks (after risk limitation) transfer Remaining project risks (after risk transfer) accept Risiko- akzeptanz Risk reduction using project steering measures Information Risk Management © 2004 KPMG

Beispiel Risk portfolio - DaimlerChrysler Information Risk Management © 2004 KPMG

IT-Risikomanagement- Tools und -Frameworks Dr. Ernest Wallmüller

Governance im Sinne von angemessener Unternehmensorganisation und -steuerung um Wertschöpfung langfristig zu sichern Externe Einflüsse • Kunden • Aktionäre • Gesetze • Behörden Interne Stakeholder • Verwaltungsrat • Geschäftsleitung • Management • Mitarbeiter Governance Organisation und Prozesse Risikopolitik Risikostrategie Information und Kommunikation Risikoanalyse Risikobewältigung mit System Kontrollumfeld Information Risk Management © 2004 KPMG

Standard ON 49000 for Austria and Switzerland ON-Regel 49003 Qualifikation des Risikomanagers Qualification of the risk manager Guideline: Integration of risk management in an integrated management system ON-Regel 49002-1 Leitfaden für das Risikomanagement ON-Regel 49002-2 Leitfaden für die Einbettung des Risikomanagements in ein integriertes Management-System Guideline for the risk management ON-Regel 49001 Elemente des Risikomanagement-Systems Elements of the risk management system ON-Regel 49000 Risikomanagement für Organisationen, Produkte, Dienstleistungen und Projekte Begriffe und Grundlagen Terms and basics Information Risk Management © 2004 KPMG

Risikobeurteilung / Risikolandschaft ONR 49002-1 häufig möglich selten sehr selten unwahrscheinlich N G C A B H O I M Unbedeutend gering Spürbar kritisch katastrophal F K D E L Information Risk Management © 2004 KPMG

Australian Standard Risk Management Process - AS/NZS 4360:1999 Information Risk Management © 2004 KPMG

Positionierung gängiger Rahmenwerke COSO COBIT DSG StGB CMMI ITIL Managementorientiert IT Grundschutz (BSI) BS 7799/ISO 17799 Planung und Organisation Implemen- tation Betrieb Überwachung Phasen- orientiert Legende: COSO = Committee of Sponsoring Organisations of the Tradeway Commission COBIT = Control Objectives for Information and related Technology DSG = Datenschutzgesetz StGB = Strafgesetzbuch CMM = Capability Maturity Model ITIL = IT Infrastructure Library Information Risk Management © 2004 KPMG

CMMI Staged Representation Level 5 Optimizing Organization Innovation & Deployment Causal Analysis and Resolution Level 4 Quantitatively Managed Organizational Process Performance Quantitative Project Management Requirements Development Technical Solution Product Integration Verification Validation Organizational Process Focus Organizational Process Definition Organizational Training Integrated Project Management Risk Management Decision Analysis and Resolution Level 3 Defined Requirements Management Project Planning Project Monitoring and Control Supplier Agreement Management Measurement and Analysis Product & Process Quality Assurance Configuration Management Level 2 Managed Level 1 Performed Information Risk Management © 2004 KPMG

For Both Software and Systems Engineering Risk Management must be implemented at Level 3 Determine risk sources and categories Define risk parameters Establish a risk management strategy Identify risks Evaluate, classify and prioritize risks Develop risk mitigation plans Implement risk mitigation plans Risk Management must be institutionalized at Level 3 Organizational policy Define process Plan Adequate resources Assigned responsibility Training Configuration management Identify and involve relevant stakeholders Monitor and control Collect improvement information Objectively evaluate adherence Review status with higher-level management Information Risk Management © 2004 KPMG

Kontrolliere Verfolge Plane Kommuniziere Identifiziere Analysiere Kontinuierliches Risikomanagement (nach SEI, www.sei.cmu.edu/programs/sepm/risk/) Funktion Beschreibung Identifizieren Suche und orte Risiken, bevor sie zu Problemen werden. Verfolgen Überwache Risikoindikatoren und Vorsorge-/Vermeidungsmassnahmen. Analysieren Übersetze Risikodaten in Entscheidungsinformationen. Bewerte Auswirkungen, Wahrscheinlichkeit und Zeitrahmen, klassifiziere und priorisiere Risiken. Planen Transformiere Risikoinformation in Entscheidungen und Vermeidungs- und Vorsorgemassnahmen und führe diese Aktionen durch. Kontrollieren Korrigiere Abweichungen vom Risiko-Massnahmenplan. Kommunizieren Informiere Projektinterne und -externe über Risikoaktivitäten, über akute sowie neu sich anbahnende Risiken. Hinweis: Kommunikation zieht sich quer durch alle RM-Funktionen. Information Risk Management © 2004 KPMG

Tools Risk Radar -- Software Program Managers Network http://www.spmn.com/rsktrkr.html Risk management database to help project managers identify, prioritize, and communicate project risks RiskTrak - Risk Services & Technology http://www.risktrak.com/ Allows an entire project team or organization to view, track, analyze and report on risks in real time CORA: Cost Of Risk Analysis System http://www.ist-usa.com/aboutcora.htm Software-based risk management system Information Risk Management © 2004 KPMG

Umsetzungsempfehlungen Früh mit RM beginnen RM als iterativer Prozess während des ganzen Projektlebenszyklusses Risiken als potentielle Chancen betrachten Verantwortlichkeiten zuordnen (Prozess, jedes Risiko) Projektstrukturplan (WBS) zur Risikoidentifikation beiziehen Vorsorge-Fonds für Risiken einrichten RM-Plan überwachen und nachführen Das gesamte Projektteam in den Prozess involvieren Information Risk Management © 2004 KPMG

Zusammenfassung & Fragen für die Diskussion Gregor Frey

Fragen für die Diskussion Zur Provokation: Ist Risikomanagement nur ein Modewort der Berater? Leistet das Risikomanagement überhaupt einen Beitrag, um die Qualität in den Informatikprojekten nachhaltig zu verbessern? Ist der Wert des Risikomanagements vorhanden und messbar? Timing: Wann ist der richtige Moment, um das Risikomanagement in IT-Projekte zu involvieren? Wie regelmässig ist die Situation neu zu hinterfragen? Information Risk Management © 2004 KPMG

Fragen für die Diskussion Verantwortlichkeit: Wer ist verantwortlich für das IT-Risikomanagement? Entstehen Reibungsverluste zwischen Audit-, IT-Security und Linienfunktion? Tools, Rahmenwerke und Good Practice: Welche Tools sind für das IT-Risikomanagement die Richtigen? Grundlagen: Welche Informationsquellen sind wichtiger: Menschen (Interviews) oder Dokumente (Projektergebnisse) Welche Informationsquellen sind verlässlich, welche nicht? Information Risk Management © 2004 KPMG

Moderierte Diskussion

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.